わが国の情報セキュリティ政策についてjasa.ongara.com/past/seminar/sym2008/pdf/s2008tokyo01.pdf · meti 経済産業省 0 わが国の情報セキュリティ政策について

METI 経済産業省

0

わが国の情報セキュリティ政策について

経済産業省商務情報政策局

情報セキュリティ政策室

三角育生


1

情報セキュリティに関する現状


2

IT化の急速な進展

インターネットの爆発的普及等を通じて、情報技術(ＩＴ)は、ネットベンチャーやハイテク産業といった特殊な世界の出来事から、家庭での電子メール活用、職場での一人一台ＰＣなど、身近な生活の出来事に。

産業の現場でも、電子商取引の拡大、自動車の電子制御化などのように、ソフトウエア化・ネットワーク化が進展。

→ ＩＴは、産業・社会の隅々に浸透し、物理的活動等を代替

インターネットの爆発的普及等を通じて、情報技術(ＩＴ)は、ネットベンチャーやハイテク産業といった特殊な世界の出来事から、家庭での電子メール活用、職場での一人一台ＰＣなど、身近な生活の出来事に。

産業の現場でも、電子商取引の拡大、自動車の電子制御化などのように、ソフトウエア化・ネットワーク化が進展。

→ ＩＴは、産業・社会の隅々に浸透し、物理的活動等を代替

（出典：平成１７年通信利用動向調査等）

ＪａｓＰａｒ講演資料より作成

参考：インターネット内の情報流通量の推計（2006－2025）

自動車においてソフトウェア関連のコストが占める割合は２００２年２０％ → ２０１５年(予測) ４０％

エンジンエンジン制御制御ECUECU

ボデーボデー制御制御ECUECU

ステアステアリングリング制御制御ECUECU

周辺監視周辺監視ECUECU

プレーキプレーキ制御制御ECUECU

複雑化

高機能化融合化高度化

車載LAN

電子制御システム

エンジンエンジン制御制御ECUECU

ボデーボデー制御制御ECUECU

ステアステアリングリング制御制御ECUECU

周辺監視周辺監視ECUECU

プレーキプレーキ制御制御ECUECU

複雑化

高機能化融合化高度化

車載LAN

電子制御システム

‘94 ‘96 ‘98 ‘00 ‘02 ‘04 ‘06 ‘08 ‘10

5～10倍に増大

ソフト開発工数予測（出典：経済産業省産業構造審議会情報経済

分科会資料（平成２０年５月））

参考：情報の爆発的増大と情報ネットワークの世界的広がり

インターネットの人口普及率は、この１０年で１割から７割へと着実に増加。その普及に合わせて、ネットショッピングの普及、企業のネット活動の充実、自動車のＩＴ化などモノ作りにもＩＴが浸透するなど、個人・企業の双方においてＩＴの活用が拡大。

2006年 2010年 2015年 2020年 2025年

（倍）

637Gbps

121Tbps

0

20

40

60

80

100

120

140

160

180

200

190倍

2006年 2010年 2015年 2020年 2025年

（倍）

637Gbps

トラヒックの増加率

121Tbps

0

20

40

60

80

100

120

140

160

180

200

190倍

2006年 2010年 2015年 2020年 2025年

（倍）

637Gbps

121Tbps

0

20

40

60

80

100

120

140

160

180

200

190倍

2006年 2010年 2015年 2020年 2025年

（倍）

637Gbps

トラヒックの増加率

121Tbps

0

20

40

60

80

100

120

140

160

180

200

190倍

本格的なＩＴ化に伴い、動画像の送配信や各種ＩＴサービスが普及し、社会で扱う情報量は2025年には約200倍になると見込まれている（情報爆発）。

（出典：経済産業省産業構造審議会情報経済分科会資料（平成２０年５月））

量から質を問われる量から質を問われる新たなステージへ新たなステージへ

0

1,000

2,000

3,000

4,000

5,000

6,000

7,000

8,000

9,000

10,000

0.0

10.0

20.0

30.0

40.0

50.0

60.0

70.0

80.0インターネット利用者数

人口普及率

2005 200620042003200220012000199919981997

YouTube、電子ﾏ

ﾈｰ

ｾｶﾝﾄﾞﾗｲﾌ

ﾃﾞｼﾞﾀﾙｴｺﾉﾐｰ

ｵｰﾌﾟﾝｿｰｽ

ｲﾝﾀｰﾈｯﾄの

本格的普及

（％）

個人からの

情報発信

ﾈｯﾄの企業活

動（HPの充

実、

電子商取引の

活用等）への

浸透

プロから一般

へ

i- Mode

電子メールや

ネット

ショッピング

の浸透

ﾌｨｯｼﾝｸﾞ詐欺

電子タグ

Ｗｉｎｎｙ

（万人）

ＥＣ普及施策（実証実験等）

本格的な制度整備（電子契約法、 ISP法、電子署名法等）

ＩＴ活用促進施策（電子タグ普及等）

自動車の IT化な

ど

もの作りにも

ITが浸透IT化をリ

ードする

新たなサービ

スモデル

IT投資の最適化

Ｗｅｂ２．０

ブログ、ＳＮＳ

ＳＯＸ法

量から質を問われる量から質を問われる新たなステージへ新たなステージへ

0

1,000

2,000

3,000

4,000

5,000

6,000

7,000

8,000

9,000

10,000

0.0

10.0

20.0

30.0

40.0

50.0

60.0

70.0

80.0インターネット利用者数

人口普及率

2005 200620042003200220012000199919981997

YouTube

ｾｶﾝﾄﾞﾗｲﾌ

ﾃﾞｼﾞﾀﾙｴｺﾉﾐｰ

ｵｰﾌﾟﾝｿｰｽ

ｲﾝﾀｰﾈｯﾄの

本格的普及

（％）

個人からの

情報発信

ﾈｯﾄの企業活

動（HPの充

実、

電子商取引の

活用等）への

浸透

プロから一般

へ

i- Mode

電子メールや

ネット

ショッピング

の浸透

ﾌｨｯｼﾝｸﾞ詐欺

電子タグ

Ｗｉｎｎｙ

（万人）

ＥＣ普及施策（実証実験等）

本格的な制度整備（電子契約法、 ISP法、電子署名法等）

ＩＴ活用促進施策（電子タグ普及等）

自動車の IT化な

ど

もの作りにも

ITが浸透IT化をリ

ードする

新たなサービ

スモデル

IT投資の最適化

Ｗｅｂ２．０

ブログ、ＳＮＳ

ＳＯＸ法

電子マネー、


3

ネットワーク

internet

情報システムに関する脅威の構造

経済システムと情報システムが密接にからみあうことで、リスクがどこにあるのか、どれくらいあるのか、識別・評価が極めて困難になっている

情報窃盗、マルウェア製造等の不正行為をビジネスとする職業犯罪組織の出現

U N I V E R S I T YU N I V E R S I T Y

組込機器

ソフトウェア

国際的職業犯罪組織

NGN情報家電

通信機器

指令

ハードウェア

マルウェア

フィッシングスパム

モバイル

フィッシング攻撃

思いつき、その場しのぎの情報セキュリティ対策を止め、システムの相互関係を分析し、効果的に弱点を補強する、総合的・根本的な情報セキュリティ対策が求められている

脅威：ボットネット、フィッシング詐欺、ID窃盗、スパム爆弾、ウェブ改ざん、中間者攻撃、暗号危殆化、分散サービス不能攻撃。。。


4

情報セキュリティに関するさまざまな脅威

■情報セキュリティ事故が企業価値に与える影響が無視できなくなってきている◇H17年の全上場企業の不正アクセス・機密漏洩事故に係る潜在リスクは約２９兆円

■経済的利得を目的とした危険性の高い脅威が増大◇H18年の日本におけるオンライン詐欺被害額は1304億円と推計（ブロードバンド推進協議会）◇H19年の米国におけるオンライン小売業者の詐欺被害額は３６億ドルと推計（米CyberSource）

■無差別的な攻撃に加え、特定の者を対象とする攻撃が増加

全上場企業の不正アクセス・機密漏洩事故に係る潜在リスクと潜在リスクに対する情報セキュリティ市場規模の比率世界銀行資料、内閣府資料、経済産業省委託調査より推計

我が国における情報セキュリティ市場規模経済産業省委託調査

21.55

28.801.92

1.77

0.00

5.00

10.00

15.00

20.00

25.00

30.00

35.00

2004 2005

（兆円）

1.65

1.70

1.75

1.80

1.85

1.90

1.95

（%）

全上場企業の不正アクセス・機密漏洩事故に係る潜在リスク市場規模対潜在リスク（%）

4,133

5,090

0

1,000

2,000

3,000

4,000

5,000

6,000

2004 2005

（億円）

総理大臣を騙ったウイルス付きメールに対する注意喚起


5

ハードウエアセキュリティの必要性

■ 組込機器の分野でも情報セキュリティ事象が実際に発生している。

■ 組込システムが使われる電子マネー市場などは、年々拡大し、私たちの生活の中に急速に広がりつつある。

電子マネーの市場規模

21,307 22,400

29,70033,200

37,800

895

2,860

3,525

4,178

12,00012,000

12,100

12,300

12,800

13,800

24,550

1,5832,247

0

10,000

20,000

30,000

40,000

50,000

60,000

２００５年度２００６年度２００７年度２００８年度２００９年度２０１０年度

その他※３

Ｅｄｙ※２

交通系電子マネー※１

「電子決済総覧2006」によると、2005年度の電子マネーの市場規模は3兆4,202億円と推計されている。さらに5年後の電子マネーの市場規模は5兆5,778円と2005年度よりも約1.6倍に拡大するものと推計。電子マネーの浸透とともに市場も拡大することが予想される。

※※１１鉄道・バスの磁気・ＩＣ乗車券、電子マネーの利用鉄道・バスの磁気・ＩＣ乗車券、電子マネーの利用※２カード型Ｅｄｙ、モバイルＥｄｙ、ゆうちょカードのＥｄｙなど※３ネットワーク系電子マネーなど

（株）シーメディア「電子決済総覧２００６」より作成

【億円】～ATM、POS 端末等の専用システムが感染し、サービス不能に陥る～

北米では、パソコンだけでなく、金融機関のATM やPOS 端末、飛行機のチェックインシステム等にまで感染が広がり、その多くがダウンした。

組込機器におけるトラブル事例

（出典：組込ソフトウエアを用いた機器におけるセキュリティ（（独）情報処理推進機構））


6

情報セキュリティに関する問題の現状

•サイバー恐喝、標的型攻撃メール、フィッシング詐欺などの新たな脅威に関する事件が増加。•中国などの海外からの不正アクセスによる情報流出等も増加。

主な事例概要

企業サイトにサイバー恐喝相次ぐ感染ＰＣ数万台から攻撃損失３億円も（２００８／５／３１読売新聞）

企業のウェブサイトにアクセスを集中させて閲覧不能にし、攻撃を止める代わりに金を要求する新手の恐喝事件が相次いでいる。ウイルス感染させたパソコンを大量に使うのが特徴で、東京都内の大手企業ではサイトの閲覧が１週間ストップさせられ、３億円以上の損失を被った。また、都内のネット関連会社３社のウェブサイトが突然見られなくなり、中国のハッカーを名乗る人物から「攻撃を止めて欲しければ、５０万円支払え」と要求する日本語のメールが届いた。放置して要求が１００万円に引き上げられた会社もあったという。

標的型攻撃メール：特定組織の情報狙い、ウイルス付き猛威企業・自治体７．９％受信（２００８／５／１０毎日新聞）

特定組織を狙って情報を盗み出すウイルス付きの「標的型攻撃メール」が猛威を振るい始めている。独立行政法人情報処理推進機構（ＩＰＡ）の調査では同種メールを実際に受信した国内の企業・自治体が７・９％に上ることが、判明した。従来は、不特定多数を対象とした大量メールが主流だったが、ターゲットを絞った巧妙な“攻撃”が増加しているとみられ、ＩＰＡは注意を呼びかけている。

高松市ＨＰ、改ざん被害ハッカー侵入か／香川県（２００８／５／３１朝日新聞）

高松市の公式ホームページ（ＨＰ）「もっと高松」で５月２９日午後６時ごろ、一部ページが国外のサイトに不正アクセスされる異常が見つかった。市は２分後にＨＰを閉鎖。改ざんされたデータと問題のあったソフトウエアを取り除いたうえで約６時間後に復旧した。市広聴広報課は、ハッカーが不正侵入しプログラムを改ざんした可能性が高いとみている。外部からの攻撃で同市のＨＰの情報サービスが全面的に停止したのは９６年の開設以来初めて。

ネット通販サイトに不正アクセス利用者２万件の情報流出か（２００８／５／２１読売新聞）

インターネット通販会社「オズ・インターナショナル」（東京都千代田区）は５月２０日、同社のウェブサーバーに不正にアクセスされ、通販サイトで買い物をした利用者の個人情報が流出したと発表した。流出件数はカード情報など最大２万件に上るおそれがある。これまでに名前や住所、電話番号のほか、クレジットカード番号や有効期限、パスワードなどの流出が確認されている。４月中旬、クレジットカード会社からの指摘で発覚し、約１３０件はオンラインゲームでカードが不正利用されていた。

楽器販売サイト、１０万人情報流出中国から不正アクセス／千葉県（２００８／３／３１朝日新聞）

成田市の楽器販売会社「サウンドハウス」が運営するインターネットショッピングサイトに中国国内から不正アクセスがあり、顧客約１０万人分の名前や生年月日などの個人情報が流出した恐れがあることが３月７日、分かった。同社によると、昨年１月１日から今年３月２２日までに登録した顧客の名前や性別、クレジットカード番号などが流出したという。被害は最大で延べ９万７５００人分にのぼるという。

迷惑メール、海外発が急増、中国からが５５％――パソコン乗っ取り、ウイルスまん延（２００７／１２／１１日経新聞）

出会い系サイトの勧誘や架空請求につながる迷惑メールが猛威を振るい、国内の防御対策が及ばない中国を中心とする海外発のメールが急増している。感染すると所有者が気づかないうちにパソコンを第三者に操られてしまう「ボットウイルス」のまん延も背景にある。ボットネットを迷惑メール業者に賃貸する人物もいるとされ、世界で流通する迷惑メールの大半がボットネット発との見方もある。日本の業者が感染した海外のパソコンを操り、国内へ大量の迷惑メールを送り込んでいる可能性も高いという。

サイト改ざん１０００件超今月、中国から攻撃か（２００８／３／３１毎日新聞）

コンピューターウイルス対策大手トレンドマイクロ（東京）のホームページ（ウェブサイト）が改ざんされた問題で、同社以外に千以上の企業や個人のサイトが被害を受けた可能性があることがネット関係各社の調査でわかった。被害は英国、カナダ、韓国にも及ぶ。直接の攻撃元は中国とみられるという。安全対策が不十分なサイトが被害を受けており、各社は注意を呼びかけている。ネット上の安全情報を提供している有限責任中間法人ＪＰＣＥＲＴコーディネーションセンター（東京）は、「最新のウイルス対策ソフトを使い、パソコンのソフトを最新の状態に保つことで被害に遭う可能性は減らせる」と呼びかけている。

フィッシング詐欺：全国初、カード詐欺容疑で福岡の男２人逮捕（２００７／１２／０６毎日新聞）

フィッシングで盗み出したクレジットカード情報を悪用し現金をだまし取ったとして、京都府警などは５日、会社役員（２５）と無職（３２）の両容疑者を詐欺などの容疑で逮捕した。クレジットカード情報を使ったフィッシング詐欺での逮捕は全国初。府警は両容疑者が０６年４月～今年９月、約７０件のカード情報を盗み１５４１万円を詐取したとみて追及する。

政府全体の取組みMETI 経済産業省

7

～内閣官房情報セキュリティセンター（NISC）及び情報セキュリティ政策会議の設置～

重要インフラ重要インフラ個人個人

情報セキュリティ関係省庁

総務省

警察庁

経済産業省

防衛省

重要インフラ所管省庁

国土交通省

金融庁

経済産業省

総務省

IT戦略本部

情報セキュリティ情報セキュリティ

政策会議政策会議

（閣僚級＋民間有識者）（閣僚級＋民間有識者）

内閣官房

内閣官房情報セキュリティ内閣官房情報セキュリティ

センター（センター（NISCNISC））（約（約6060名体制）名体制）

①①情報セキュリティに関する基本戦略の立案情報セキュリティに関する基本戦略の立案

②②政府機関の総合対策促進政府機関の総合対策促進

③③政府機関の事案対処支援政府機関の事案対処支援

④④重要インフラ防護重要インフラ防護

厚生労働省

企業企業

議長

内閣官房長官

議長代理

特命担当大臣（科学技術政策）

構成員

国家公安委員会委員長

総務大臣

経済産業大臣

防衛大臣

江畑謙介拓殖大学客員教授

／軍事評論家

小野寺正ＫＤＤＩ（株）代表取締役

社長兼会長

黒川博昭富士通（株）代表取締役社長

野原佐和子（株）イプシ・マーケティング

研究所代表取締役社長

前田雅英首都大学東京教授

村井純慶應義塾大学教授

（有識者構成員は、五十音順。敬称略）

第一次情報セキュリティ基本計画(06-08)

政府政府


8

「第1次情報セキュリティ基本計画」の概要と「セキュア・ジャパン２００８」の位置づけ

2006年度「セキュア・ジャパン2007」「セキュア・ジャパン2008」

2007年度 2008年度

①2006年度の実施計画（133施策）～「官民におけるセキュリティ対策の体制の構築」

②2007年度の重点施策の方向性（26施策）～「官民におけるセキュリティ対策の底上げ」

「セキュア・ジャパン2006」

①2007年度の実施計画（159施策）～「官民におけるセキュリティ対策の底上げ」

②2007年度の重点施策の方向性（24施策）～「セキュリティ基盤強化に向けた集中的取り組み」

①2008年度の実施計画（157施策）～「セキュリティ基盤強化に向けた集中的取り組み」

②2009年度の重点施策の方向性（22施策）～「持続的な情報セキュリティ推進体制の構築に向けた基盤整備」

◆政府機関統一基準に

基づく各省庁の評価◆サイバー攻撃等への

緊急対応能力の強化

◆情報共有・分析機能の整備◆連絡協議会の設置◆分野横断的な演習、

相互依存性解析の実施

政府政府機関機関・地方公共団体・地方公共団体重要インフラ重要インフラ企企業業個個人人

目標

重要政策

各実施領域の

情報セキュリティ技術戦略の推進情報セキュリティ人材の育成確保

国際連携・協調の推進犯罪の取締り、権利利益の保護救済

２００９年度初めにはすべての政府機関が「政府機関統一基準」が

求める水準に

２００９年度初めにはＩＴ障害を限りなくゼロに

２００９年度初めには対策の実施状況を

世界トップクラスの水準に

「第1次情報セキュリティ基本計画」（２００６年２月２日情報セキュリティ政策会議）「第1次情報セキュリティ基本計画」（２００６年２月２日情報セキュリティ政策会議）

重要政策

横断的な

２００６～２００６～２０２００８年度の３ヵ年計画０８年度の３ヵ年計画。全主体が適切な役割分担を果たす「新しい官民連携モデル」の構築「新しい官民連携モデル」の構築を目指す。

２００９年度初めには「IT利用に不安を感じる」個人を限りなくゼロに

◆政府調達における入札条件の整備

◆第三者評価制度の活用◆ウィルス等への体制強化

◆セキュリティ教育の推進◆広報啓発の強化◆ユーザーフレンドリーな

サービスの提供等

9


経済産業省施策の概要


10

経済産業省の情報セキュリティ対策（概要）

ＰＣ

サーバー

ルーター

インターネット

ウイルス、不正アクセス等

セキュリティ上の弱点、システム障害等

ＩＴ製品等の安全性に係る評価制度等を整備し、安全な製品の普及を図ることにより、ＩＴ製品の安全上の問題箇所等に起因する不正アクセス等を防止

セキュリティ評価の推進

技術開発・研究開発の実施

新たな脅威に対応するため、情報セキュリティに係る技術開発及び研究開発を実施

脅威（ウイルス、不正アクセス等）に関する情報を早期に収集・分析し、その脅威に対する対策情報等を迅速に提供することにより、被害の拡大を抑制

情報セキュリティの確保を図るために不可欠な情報の収集・分析・提供

内部不正、システム設定ミス等

企業が情報セキュリティの観点から、内部統制（情報管理、情報改ざん防止など）の仕組みを構築するときのガイドラインを策定することなどにより、企業の情報セキュリティ対策を促進

企業等のマネジメント面での情報セキュリティ対策の推進

企業等

個人

技術的対策の推進技術的対策の推進

早期警戒体制の整備早期警戒体制の整備

組織的対策の推進組織的対策の推進

継続的な継続的な普及広報活動普及広報活動

11


早期警戒体制の整備


12

情報セキュリティに係る脅威等の変遷と経済産業省の対応～新たな脅威への対応と包括的な問題解決推進の必要性～

・PCの普及・愉快犯の能力誇示・限定的被害

・インターネットの普及・被害の大規模化・攻撃側の情報共有の進展

・ソフトウエア脆弱性問題の顕在化・ウイルス・ワームの機能高度化

・経済的動機（なりすまし・詐欺）・攻撃側の組織化・分業化の進展・手口の高度化・複合化

被害原因を事後的に確認、被害局限化

被害原因をリアルタイムに把握・分析、被害局限化

被害原因を事前に把握し被害の発生を抑制・局限化

ＩＳＰ等の関係機関と連携した総合的対策により被害発生を抑制・局限化

第１期

第２期

第３期

第４期

インターネットの普及と相俟った急速かつ大規模な感染、

被害の深刻化

フロッピー感染型ウイルス

ボット

フィッシング

脆弱性を悪用したウイルス・ワーム

経済的利得を目的とした情報詐取等

ホームページ書換え・DoS攻撃

電子メール添付型ウイルス

パスワード解読ツールの普及等

スパイウェア

脅威脅威事象事象状況分析状況分析

特定サイトに対する侵入

組織化・分業化、複合的な手法を用いた攻撃

ネット上での攻撃ツールの入手容易化等

愉快犯的・限定的な感染被害

インターネットを介した広域感染

※脆弱性：ソフトウエア等において、コンピュータ不正アクセス、コンピュータウイルス等の攻撃により機能や性能を損なう原因となり得る、安全性上の問題箇所。

※ボット：「ロボット」から取られた造語で、ある種のプログラム（ボットプログラム）を埋め込まれたコンピュータを指す。ボット化したコンピュータは、攻撃者の命令に基づき、情報詐取、迷惑メール送信等

の様々な活動を行う。

※フィッシング：金融機関やオンラインショップなどからの電子メールを装い、個人情報等を返信もしくは入力させることを通じ、金銭を詐取する行為。

※スパイウェア：利用者の個人情報やアクセス履歴などの情報を、利用者以外の者に自動的に送信するソフトウェア

※DoS攻撃：“Denial Of Service”の略。大量のデータを送信すること等により、Webサイトが提供するサービスを妨害、停止させる行為。

コンピュータウイルス・不正アクセス届出制度被害発生を周知し、その拡大を抑制

インターネット定点観測ネットワークの異常

発生をリアルタイムで検出

早期警戒体制の強化・拡充(ボット対策事業)

・フィッシング対策協議会の設立等

早期警戒体制の枠組構築脆弱性関連情報を機密を保持しつつ関係者間で流通させ、対策を迅速にユーザに供給

当省の施策当省の施策

1990

2000

2003

2004

2005


13

早期警戒体制の整備① ～コンピュータセキュリティ早期警戒体制の整備・運用～

関係機関の効果的な連携により、情報セキュティ上の問題発生を抑制

未公表のセキュリティ上の弱点（ぜい弱性）情報を米英日のCSIRT（注）間で共有する国際連携体制を整備

ぜい弱性情報は、届出制度の運用開始後、約3年10ヶ月で2,257件を受領（2008年6月1日現在）（注）CSIRTとは、「Computer Security Incident Response Team」の略で、情報システムの運用におけるセキュリティ上の弱点・問題に関する報告を受け、その調査、対応活動などを行う組織の一般名称。JPCERT/CCは日本におけるＣＳＩＲＴ。

ぜい弱性の発見者

製品利用者

ぜい弱性関連情報

一般ユーザ（システム管理者、個人ユーザ等）における被害の未然防止

ウイルス等の被害者被害届出

海外各国のCSIRT(米国CERT/CCなど )

JPCERT/CC(調整機関)

対応策公表等の調整

製品開発ベンダー

国際連携

ウイルス届出件数の月別推移

50

98

86625966 5753 75 82

4369 5672 7666

79

77140

431

126135 189 125

79 176

95153

172 57311

1193 1158 1110

1458

4028

1452

54225439

1439

241019651781

1756 15101408

20122283

14601135

1187

4012

1733

4832

10521401

1411

2014

16021786

1323

1794

0

500

1000

1500

2000

2500

3000

3500

4000

4500

5000

5500

6000

１ 2 3 4 5 6 7 8 9 10 11 12 １ 2 3 4 5 6 7 8 9 10 11 12 １ 2 3 4 5 6 7

（件数）

2002年

2002 年

（ 20 , 352 件）

・月別の届出総件数は、グラフ上部に記載。

・白抜き部分は、上記のうちパソコン感染前に発見したケー

ス (メール受信・ FDを受け取ったのみ等 )。

・網掛け部分は、パソコンに感染があったケース。

件数を中段に記載。

独立行政法人情報処理推進機構セキュリティセンター (IPA/ ISEC)

2003年

2003 年

（ 17 , 425件）

2004 年

（ 26 , 789 件 )

2004年

IPA(受付機関)

ぜい弱性情報等に関する対応策の公表

届出情報に基づく注意喚起の発信

届出


14

早期警戒体制の整備② ～脆弱性への対応状況～

脆弱性関連情報の四半期別の届出状況（出所：IPA）

2004年 2005年 2006年 2007年 2008年第１四半期

2008年第２四半期(6/1現在)

32140172

3253210373 244583 297

179211

101295396

合計

ソフトウエア製品 283 711ウェブアプリケーション 315 1,546

合計 598 2,257

脆弱性関連情報届出数の日米比較

脆弱性届出件数（ソフトウエアに関するもののみ）

2005年 2006年 2007年 2008年第１四半期

合計月平均

情報セキュリティ早期警戒パートナーシップ

396 598 583 297

1,474

48.01,874

22,764米国CERT/CC 5,990 8,064 7,236 583.7

日本における脆弱性関連情報届出制度は2004年7月8日から開始。日本でも、今後予想されるITの更なる普及及び脆弱性関連情報届出制度の認知度向上等により、報告件数が急速に増加していくと考えられる。


15

早期警戒体制の整備③ ～ボットの問題と被害の実例～

■ウイルスのように感染し、攻撃者の命令に基づき、あらかじめ埋め込んだボットプログラム等を実行■多数のボットが連携（ボットネット）することで、攻撃元を偽装し、対策を取りにくくすることが可能■攻撃方法の複合化・高度化と、攻撃者の組織化・分業化の相乗効果により、被害の拡大が進む■JPCERT/CC・Telecom-ISAC合同調査の結果(平成１６年度調査)

・未知種が一日70種も登場する一方、ウイルスに比較して変種が多く、対策ソフトをすり抜けるボットプログラムが多数存在することから、総合的対策が必要。・1台のコンピュータ（1IPアドレス）に対して、ボット化させるための攻撃が一日あたり平均758回ある（約2分に１回の割合）

■ウイルスのように感染し、攻撃者の命令に基づき、あらかじめ埋め込んだボットプログラム等を実行■多数のボットが連携（ボットネット）することで、攻撃元を偽装し、対策を取りにくくすることが可能■攻撃方法の複合化・高度化と、攻撃者の組織化・分業化の相乗効果により、被害の拡大が進む■JPCERT/CC・Telecom-ISAC合同調査の結果(平成１６年度調査)

・未知種が一日70種も登場する一方、ウイルスに比較して変種が多く、対策ソフトをすり抜けるボットプログラムが多数存在することから、総合的対策が必要。・1台のコンピュータ（1IPアドレス）に対して、ボット化させるための攻撃が一日あたり平均758回ある（約2分に１回の割合）

ボットの概要ボットの概要

◆米マイクロソフトによれば、米連邦政府の2000台以上のPCがrootkitと呼ばれる高度な秘匿技術を用いたボットに感染（2006年）◆米国を中心にユーザの銀行口座情報を盗むボットMetaFisherの大規模な感染が発覚（2006年）

◆米マイクロソフトによれば、米連邦政府の2000台以上のPCがrootkitと呼ばれる高度な秘匿技術を用いたボットに感染（2006年）◆米国を中心にユーザの銀行口座情報を盗むボットMetaFisherの大規模な感染が発覚（2006年）

発見された悪意のあるプログラムの種類（増加分の殆どはボット）Kaspersky Lab 調査

ボット被害の拡大ボット被害の拡大ボットの高度化・凶悪化ボットの高度化・凶悪化

攻撃命令

メール送信命令

各種命令

ボットネット

フィッシングサイト等

SPAMメール

ボット

DoS攻撃

攻撃命令

メール送信命令

各種命令

ボットネット

フィッシングサイト等

SPAMメール

ボット

DoS攻撃

◆米国最大手のISP（AOL）によれば、スパムメールの75%（推定15億通/日）がボットから送信されている(2005年)◆shadowcrewと呼ばれるボット運営組織は、米・英・露・西・伯に4000人のメンバーを擁し、クレジット詐欺等により数百万ドルを稼ぐ◆ボットで1800万通／日のスパムメールを送信していた者が韓国で逮捕

◆米国最大手のISP（AOL）によれば、スパムメールの75%（推定15億通/日）がボットから送信されている(2005年)◆shadowcrewと呼ばれるボット運営組織は、米・英・露・西・伯に4000人のメンバーを擁し、クレジット詐欺等により数百万ドルを稼ぐ◆ボットで1800万通／日のスパムメールを送信していた者が韓国で逮捕


16

早期警戒体制の整備④ ～ボット対策推進事業～

コンピュータが、ボット（ウイルスの一種）に感染すると、インターネットを通じて悪意を持った攻撃者によって外部から遠隔操作されてしまう。ユーザの知らない間にボット感染したコンピュータから、特定のウエブサイトに大量アクセスして当該サイトのサービスを妨害する攻撃、迷惑メールの送信などを大規模かつ組織的に展開する事例が発生。ボットの感染防止、駆除及び被害の局限化等が急務（ＦＹ１８～）

コンピュータが、ボット（ウイルスの一種）に感染すると、インターネットを通じて悪意を持った攻撃者によって外部から遠隔操作されてしまう。ユーザの知らない間にボット感染したコンピュータから、特定のウエブサイトに大量アクセスして当該サイトのサービスを妨害する攻撃、迷惑メールの送信などを大規模かつ組織的に展開する事例が発生。ボットの感染防止、駆除及び被害の局限化等が急務（ＦＹ１８～）

目的目的

スキームスキーム

■IPAに届け出窓口を設置すると共に、セキュリティベンダと連携してアンチウイルスソフト等による対策を実施。(予防策)■JPCERT/CCはTelecom-ISAC等と連携し、ボットの検体を入手、解析することで挙動を分析し、駆除方法等を作成する(感染後対策)。ＭＥＴＩ／総務省共同運営サイトから駆除方法等の活用を可能とする。

■IPAに届け出窓口を設置すると共に、セキュリティベンダと連携してアンチウイルスソフト等による対策を実施。(予防策)■JPCERT/CCはTelecom-ISAC等と連携し、ボットの検体を入手、解析することで挙動を分析し、駆除方法等を作成する(感染後対策)。ＭＥＴＩ／総務省共同運営サイトから駆除方法等の活用を可能とする。

Telecom-ISAC / ISPTelecom-ISAC / ISPインターネット

連絡・通知

感染ユーザー感染ユーザー

IPAIPA JPCERT/CCJPCERT/CC駆除ツール

海外CSIRT/ISP海外CSIRT/ISP

経済産業省・総務省共同運営サイト経済産業省・総務省共同運営サイト

調整

ウイルス対策ベンダウイルス対策ベンダ

届出者届出者

ボット検体

一般ユーザー一般ユーザー

パターンファイル

普及啓発

運用管理届出

解析結果

解析結果

収集

発見

ISAC : Information Sharing & Analysis Center


17

早期警戒体制の整備⑤ ～サイバークリーンセンター～

•平成18年12月12日に、経済産業省・総務省連携プロジェクトであるボット対策プロジェクトの専用ポータルサイト「サイバークリーンセンター」を開設。一般ユーザ向けに、ボットを駆除するための対策情報等の提供を開始している。(http://www.ccc.go.jp)


18

情報セキュリティに関する新たな脅威

■２００６年に日本国内の特定の組織あるいは組織グループを標的とした、情報セキュリティ上の標的型攻撃が増加。■標的はとなるのは中央官庁に限らず、企業・地方公共団体も攻撃の対象となっている。■過去にスピアフィッシング等の標的型攻撃を受けた企業は8.2％。２００６年度に限定すれば、6.4％。（JPCERT/CC調査）

過去に標的型攻撃を受けた回数標的型攻撃による被害の種類

攻撃の例攻撃を経験したと回答した企業数

回答企業に占める割合

スピアフィッシング 7 (7) 2.6% (2.5%)

関係者を装った社員宛のウィルスメール

18 (15) 6.5% (5.4%)

「DoSをしかける」という脅迫メール

3 (2) 1.2% (0.8%)

（）内は、過去１年（２００６年度）に経験した企業数

【参考】標的型攻撃の実態調査（JPCERT/CC）

●調査対象：企業（東証上場企業等）、電気通信事業者、医療関連、教育関連、行政（市町村）

●調査数：２０００社

●回答数：２８２社（回答率１４．１％）

19


普及広報活動


20

情報セキュリティセミナー

情報セキュリティセミナー

○経済産業省、独立行政法人情報処理推進機構（IPA）及び日本商工会議所の共催で、企業向けに、情報セキュリティの最新動向の紹介と具体的な対策方法の紹介等を実施するセミナーを毎年実施。

○経営者向け、システム管理者向け、端末利用者向けのコースを設定。

○ 2005年度は9月27日～2006年3月24日の期間中全国16ヶ所で開催。延べ3,599人が参加。

○ 2006年度は6月5日～2007年3月9日の期間中全国31ヶ所で開催。延べ約7,000人が参加。

○ 2007年度の6月8日～2008年2月29日の期間中全国31ヶ所で開催。延べ8,000人以上が参加。

○ 2008年度は全国34ヶ所で開催予定。


21

インターネット安全教室（２００３年～)

【目的】・情報セキュリティに対する正しい理解を広めるとともに、初心者でも安全快適にインターネットを楽しめる環境を整備する。【実施形態】・NPO法人日本ネットワークセキュリティ協会（JNSA）と共催。・道府県警、各地域の自治体、大学、NPO、商工会議所、マスコミ等と協力し、事業を実施。【開催地】これまでに全国４７都道府県、のべ３３８カ所で開催。参加者数は２万４千人以上。（２００８年３月末現在。2007年度は130カ所で開催、約6,800人が参加）【対象】（実際の参加者は１０才台～８０才台まで））・家庭や学校からインターネットを利用する方々、地域でネットワーク・セキュリティ広報に関わる方々

2003

2004

20052005

赤＝２００６年新規開催

青＝２００５年新規開催

黄＝２００４年新規開催

緑＝２００３年新規開催

都道府県別開催実績（2008年3月末現在）CD-ROMによる映像と冊子による詳細説明


22

Check PC！キャンペーン

経済産業省は、平成２０年１月１６日～３月３１日の約３ヶ月間、女優の上戸彩さんをキャンペーンキャラクターとして、一般利用者・事業者向けに情報セキュリティ対策の重要性を訴える「ＣＨＥＣＫＰＣ！」キャンペーンを実施。（昨年に続き、今回キャンペーンは３回目）

○「ＣＨＥＣＫＰＣ！」キャンペーン開始式の開催１月１６日、甘利経済産業大臣より上戸彩さんを「情報セキュリティ広報大使」に任命。

○「ＣＨＥＣＫＰＣ！」キャンペーンの専用ホームページ開設上戸彩さんが、情報セキュリティ対策をわかりやすく説明する専用ホームページを開設。情報セキュリ

ティの基礎知識のほか、ＷＥＢムービー、危険シュミレーション体験等を掲載。キャンペーン期間中に１１７万件のアクセス。

○「ＣＨＥＣＫＰＣ！」キャンペーンを広げるための交通広告の実施「ＣＨＥＣＫＰＣ！」キャンペーンの広告で埋め尽くした地下鉄丸ノ内線と銀座線の１編成を１月１６

日から１ヶ月間走らせるとともに、約２７駅５３ヶ所に上戸彩さんが情報セキュリティ対策の重要性を訴える大型駅貼り広告を実施。

○情報紙への広告掲載情報セキュリティ対策についてのコラム、「ＣＨＥＣＫＰＣ！」キャンペーンの広告、上戸彩さんのパ

ソコンライフについてのインタビューなどを掲載。

23


組織的対策の推進


24

組織的対策の推進～ISMS（Information Security Management System）適合性評価制度～

http://www.isms.jipdec.jp/

本制度は、企業における組織面での情報セキュリティ対策が適切に行われているかどうかについて、第三者機関が国際規格（ISO/IEC 27001等）に基づき、客観的に評価・認証する制度。

（財）日本情報処理開発協会（JIPDEC）が2002年4月より制度を運用。

認証取得事業者数は、2008年6月23日現在で2,677件）。

本制度は、企業における組織面での情報セキュリティ対策が適切に行われているかどうかについて、第三者機関が国際規格（ISO/IEC 27001等）に基づき、客観的に評価・認証する制度。

（財）日本情報処理開発協会（JIPDEC）が2002年4月より制度を運用。

認証取得事業者数は、2008年6月23日現在で2,677件）。

ISMS適合性評価制度スキーム概要

認証取得希望事業者（企業・自治体等）

【認定機関】（財）日本情報処理開発協会（JIPDEC）

認定（審査）登録申請

登録申請認証（審査）

意見・苦情等

【審査登録機関】（第三者機関：JQA、BSI-J、

JACO-IS等）

（2008年6月23日現在）ISMS認証取得事業者数の推移


25

組織的対策の推進～情報セキュリティ監査制度～

「情報セキュリティ監査制度」とは、企業等の情報セキュリティ対策（外部からの不正

アクセス防止の設定をしているか、情報管理責任者を任命しているか等）について、

客観的に定められた国の基準に基づいて、独立した専門家が評価（保証または助

言）する制度。

２００３年４月、「情報セキュリティ管理基準」及び「情報セキュリティ監査基準」を、経済産

業省告示により公表。これに基づき、制度運用開始。

監査主体は「情報セキュリティ監査企業台帳」に登録され(約500事業主体）、公表。毎年７

月に更新。「日本セキュティ監査協会」（ＪＡＳＡ）にて、監査の質の向上のための取り組み。

http://www.meti.go.jp/policy/netsecurity/is-kansa/index.html

監査主体監査主体

監査報告書

情報セキュリティ管理基準情報セキュリティ監査基準

保証

監査を受ける主体（国・自治体・企業）監査を受ける主体（国・自治体・企業）

取引企業

顧客

国民

信頼

改善

セキュリティ対策の向上

助言

国が定めた基準

26


企業における情報セキュリティをどの様に考えるか


27

情報資産の利活用と管理情報資産の利活用と管理

情報資産の所有者が当該情報資産をどのような範囲でどう共有するかを定めることが重要情報資産の所有者が当該情報資産をどのような範囲でどう共有するかを定めることが重要

（備考）東証一部上場企業約４００社から有効回答。各「ステージ」の割合は、次のとおり。ステージ①：１４．９％

ステージ②：６５．８％ステージ③：１７．０％

ステージ④：２．３％

■企業のＩＴ化ステージングの状況ビジネス分野では、ＩＴを活用した自社内の「縦割り」を排除し、積極的な情報共有、情報の可視化による「全体最適」を目指した「マネジメント改革」が本格化しつつあるが、全体的に見ると、約７割が「部分最適」にとどまっている。


28

企業戦略と情報セキュリティガバナンス企業戦略と情報セキュリティガバナンス

情報資産の利活用と管理バリューチェーンの拡大と企業活動のグローバル化の中で、情報の共有・活用が

重要となり、その目的に則した情報セキュリティ対策が不可欠

情報資産の利活用と管理バリューチェーンの拡大と企業活動のグローバル化の中で、情報の共有・活用が

重要となり、その目的に則した情報セキュリティ対策が不可欠

適法性／適正性適法性／適正性社会的責任社会的責任

情報セキュリティへの取り組みと企業戦略を整合させることの重要性経営層が情報セキュリティを企業戦略の中に整合的かつ

明確に位置づけて推進することが重要

情報セキュリティへの取り組みと企業戦略を整合させることの重要性経営層が情報セキュリティを企業戦略の中に整合的かつ

明確に位置づけて推進することが重要

情報セキュリティ対策を要求

情報セキュリティ対策を要求

情報セキュリティガバナンス情報セキュリティガバナンス

29


情報セキュリティマネジメントに関するこれまでの取り組み


30

情報セキュリティガバナンス 2005.3～

情報セキュリティ対策ベンチマーク

情報セキュリティ対策のセルフチェック等に有用なベンチマークの指標を開発さらに、ＩＴ事故データ収集のあり方や被害想定額算出手法について調査し、ベンチマークデータと連動したリスク評価の可能性を模索

情報セキュリティ報告書モデル

企業のコンプライアンスや社会的責任を説明するＩＲの一環として、自らの情報セキュリティポリシーやそれを実現する対策の実施状況について対外的に公表する「情報セキュリティ報告書」を提唱し、そのモデル案を策定

事業継続計画策定ガイドライン

企業がＩＴ事故発生時にも事業運営を継続的に維持するための事業継続計画（BCP）について、その策定手順や検討項目、事例等を紹介する「事業継続計画策定ガイドライン」を策定

企業における情報セキュリティガバナンスの確立企業における情報セキュリティガバナンスの確立

企業・社会への普及方策

・情報セキュリティ格付け・政府調達への活用・損害保険との連携等

問題点を克服し、企業が情報セキュリティガバナンスの確立を促進するツール

既存施策との連携・ＩＳＭＳや情報セキュリティ監査の「入口」としての活用（セルフチェック→第三者認証・評価へ）等

(1) IT事故発生のリスクが明確でなく、適正な情報セキュリティ投資の判断が困難

投資判断のための指標が求められているのではないか。

(1) IT事故発生のリスクが明確でなく、適正な情報セキュリティ投資の判断が困難

投資判断のための指標が求められているのではないか。

(2) 既存の情報セキュリティへの「対策」「取組」が企業価値に直結していない

情報セキュリティに係る取組みが、企業価値向上に寄与する仕組みが必要ではないか。

(2) 既存の情報セキュリティへの「対策」「取組」が企業価値に直結していない

情報セキュリティに係る取組みが、企業価値向上に寄与する仕組みが必要ではないか。

(3) 事業継続性確保の必要性が十分に認識されていない

IT事故発生時の対応手続きを事業継続の観点から定めておくことが必要ではないか。

(3) 事業継続性確保の必要性が十分に認識されていない

IT事故発生時の対応手続きを事業継続の観点から定めておくことが必要ではないか。

問題点

http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html


31

情報セキュリティ対策ベンチマーク

セキュリティポリシー・社内規程の策定

アクセス制御

ウイルス対策用ソフトウェアツールの導入

情報セキュリティ監査・第３者認証の実施

社内教育

委託先の検査

事業継続計画の策定

物理的安全管理・・・

・・・・

・・・

・・・

・・・

・・・

・・・・・・

望まれる水準

回答企業の水準

トータルスコアと推奨される取組みを提示

High

Middle

Low推奨される取組み

レベル

Level up!!Webで回答

企業プロフィール（15項目）・事業構造上の脆弱性・社会的影響力

セキュリティ対策（25項目）・組織的な取組み・物理的（環境的）施策・通信・システムの運用管理・開発・保守、アクセス制御・事故対応状況

評価項目（全40項目）

高水準のセキュリティ対策が要求される層

相応の水準のセキュリティ対策が要求される層

セキュリティ対策が喫緊の課題ではない層

企業のタイプに応じて望まれる水準を設定

望まれる水準（高）

望まれる水準（中）

望まれる水準（低）アンケート結果をもとに望まれる水準や推奨される取組みを設定

アンケート結果

・望まれる水準・推奨される取組み

何をどこまで実施すべきかわからない企業に、セルフチェックによる「気づき」を促しつつ、一定の目標を提示。情報セキュリティ対策の取り組み状況の結果から、レーダーチャートや全体のスコアを算出。

プロフィールから企業をタイプに分類


32

情報セキュリティ対策ベンチマークの診断例

■各評価項目の質問に答えると、トータルスコアと自社のレベルが示され、望ましい水準とのギャップや、どのような対策が不足かをチェックできる■自社が望ましい水準とどの程度のギャップがあり、どこまで対策すれば良いかを示すことで、実際の対策実施に繋がることが期待される

■各評価項目の質問に答えると、トータルスコアと自社のレベルが示され、望ましい水準とのギャップや、どのような対策が不足かをチェックできる■自社が望ましい水準とどの程度のギャップがあり、どこまで対策すれば良いかを示すことで、実際の対策実施に繋がることが期待される

（独）情報処理推進機構（IPA）セキュリティセンター https://isec.ipa.go.jp/benchmark/g_bench.html


33

情報セキュリティ報告書モデル

情報セキュリティへの取り組みが競争優位に寄与する企業

【必要最低限の項目・内容】【すべての項目・内容】

・事業に影響するIT関連のリスクが小さいことを対外的に説明

説明責任の遂行説明責任の遂行

・事業戦略の反映・ブランドの確立

新たな事業付加価値創出新たな事業付加価値創出

自社の事情に応じて記載項目や内容のレベルを選択

リスク低減に関する説明をステークホルダーから求められる企業

発行主体にとっての効果

顧客・消費者顧客・消費者購買活動の判断

取引先取引先取引相手の信頼性の把握

投資家、アナリスト投資家、アナリスト投資対象のリスク評価

格付け機関格付け機関格付けの分析材料として活用

従業員従業員情報セキュリティに対する意識・理解の向上

ステークホルダーにとっての効果

情報セキュリティ報告書モデルの記載項目（フルセット）情報セキュリティ報告書モデルの記載項目（フルセット）①①基礎情報基礎情報②②経営者の情報セキュリティに関する考え方経営者の情報セキュリティに関する考え方③③情報セキュリティガバナンス情報セキュリティガバナンス④④情報セキュリティ対策の計画、目標情報セキュリティ対策の計画、目標⑤⑤情報セキュリティ対策の実績、評価情報セキュリティ対策の実績、評価⑥⑥情報セキュリティに係る主要注力テーマ情報セキュリティに係る主要注力テーマ⑦⑦第三者評価・認証第三者評価・認証


34

事業継続計画策定ガイドライン

事業継続計画（ＢＣＰ）の構築を検討する企業にとって、考え方の理解を促すガイドライン

基本的な考え方から、具体的な計画の構築手順を説明

事業のIT依存度が高まっていることから、具体的計画はIT事故を想定

参考資料やベストプラクティス事例など、企業内での説明にも有用

Ⅰ．基本的考え方

Ⅱ．総論（フレームワーク）

Ⅲ．基本対応手順

Ⅳ．個別計画（ケーススタディ）

資料、ベストプラクティス事例

基本構成ＢＣＰの基本的考え方、ＢＣＰが求められる背景ＢＣＰの特性周辺領域・関連法規制阪神淡路大震災、西暦２０００年問題などの経験

ＢＣＰの基本的考え方、ＢＣＰが求められる背景ＢＣＰの特性周辺領域・関連法規制阪神淡路大震災、西暦２０００年問題などの経験

ＢＣＰの概要リスク分析・ビジネスインパクト分析組織体制、社内教育、ＢＣＰの維持・管理

ＢＣＰの概要リスク分析・ビジネスインパクト分析組織体制、社内教育、ＢＣＰの維持・管理

ＢＣＰ発動時（緊急時対応）での手順業務再開フェーズでの手順業務回復フェーズでの手順全面復旧フェーズでの手順

ＢＣＰ発動時（緊急時対応）での手順業務再開フェーズでの手順業務回復フェーズでの手順全面復旧フェーズでの手順

大規模なシステム障害への対応セキュリティインシデントへの対応情報漏えい、データ改ざんへの対応

大規模なシステム障害への対応セキュリティインシデントへの対応情報漏えい、データ改ざんへの対応

35


情報セキュリティガバナンス確立の促進


36

情報セキュリティ／ガバナンスが注目される背景情報セキュリティ／ガバナンスが注目される背景

適法性

- 個人情報保護法- 金融商品取引法- 会社法等

社会や顧客からの適正性の要求


37

「システム管理基準追補版」財務報告に係るIT統制ガイダンス

２００６年６月に成立した金融商品取引法により、上場企業等は、２００８年４月以降、財務報告に係る内部統制の整備及び運用状況の有効性について評価、報告することが義務化。

我が国企業の数多くの業務において、ＩＴへの依存度が増大していることを背景に、金融商品取引法の枠組みにおいても、「ＩＴへの対応(→ＩＴ統制)」は内部統制の基本的要素の一つ。我が国においては、経済産業省の策定した「システム管理基準」及び「情報セキュリティ管理基準」(以下、「システム管理基準等」)が、有効な情報システム管理のための指針として広く活用されているところであるが、システム管理基準等だけではＩＴ統制に係る詳細が不明確。

このため、経済産業省として、「企業のＩＴ統制に関する調査検討委員会」等を設置し、2007年３月末、システム管理基準等を活用している企業が「ＩＴへの対応」を行っていくための「参考情報」として、主要なケースを想定しつつ、それぞれの企業がＩＴ統制をどのように構築し、経営者がその有効性をどのように評価するかについての具体的対応事例集である「システム管理基準追補版(財務報告に係るＩＴ統制ガイダンス)」を策定。なお、金融商品取引法に基づき、経営者による有効性評価については、公認会計士又は監査法人がその適正性につき監査することとなっているが、本追補版はあくまでもIT統制の構築と経営者による有効性評価までを対象としていることに留意。

システム管理基準等を活用している企業

ＩＴ統制への対応

ＩＴ統制の有効性評価

ＩＴ統制の構築

参考情報

参考情報

システム管理基準追補版(財務報告に係るＩＴ統制ガイダンス)

具体的対応事例を提供

金融商品取引法における内部統制の６つの基本要素

１. 統制環境２. リスクの評価と対応３. 統制活動４. 情報と伝達５. モニタリング（監視活動）６. ＩＴへの対応(→ＩＴ統制)

企業の経営者


38

異なる目的の法令の遵守の必要性異なる目的の法令の遵守の必要性

異なる目的の法令に対して、情報セキュリティの観点から遵守する方法についての情報が不十分

個人情報保護法、金融商品取引法等、情報セキュリティ対策を要求する法令

労働契約法、下請法等、情報セキュリティ対策を実施する際に留意が必要な法令


39

社会的責任社会的責任

企業の透明性に対する顧客・社会からの要求

情報セキュリティ向上は社会的責任とも認識

事業継続は、顧客・取引先に対する責任の側面も

情報セキュリティ対策の方針・目的（複数回答可）

警察庁「不正アクセス行為対策等の実態調査報告書」


40

情報セキュリティガバナンスとは情報セキュリティガバナンスとは

評価開示

※経営層が取り組む「情報資産に係るリスク管理」を、管理者層・従業員層が取り組む実務的な管理策に詳細化すると、情報資産に係る「法令遵守」、「情報資産管理」、「事業継続」に収斂する構造。

※「監査役会等」、「取締役会等」には、委員会設置会社等の場合を含む。※「評価」の対象には、顧客からの要望への対応を含む。※「情報資産管理」には、責任者の設置、情報資産資産の利活用及び漏えい／改ざん防止策等を含む。※「リスク管理」のリスクには法令違反から生じるリスクを含み、図中の「法令遵守」は管理策を指す。

監視報告

報告

監視企業活動の目的

企業

情報セキュリティ対策

企業の活動

利害関係者等の活動

•法令遵守•情報資産管理•事業継続

経営層

管理者層従業員層

取引先、顧客、従業員、社会等株主

監査役会等

企業価値の向上

社会的責任の遂行

方針決定

モニタリング

リスク管理

取締役会等


41

情報セキュリティへの取り組みと企業戦略を整合させることの重要性情報セキュリティへの取り組みと企業戦略を整合させることの重要性

利活用利活用

リスク管理リスク管理

リスク管理リスク管理利活用利活用

情報セキュリティを企業戦略の中に整合的に位置づけ

情報セキュリティ対策：企業価値を高めるための投資対象として位置づけるべきではないか情報セキュリティ対策：企業価値を高めるための投資対象として位置づけるべきではないか


42

戦略的に情報セキュリティ対策を行っている事例

ある情報システムを用いたサービスを提供する企業では、ITを用いた新たな価値を提供するために、情報を適切に取扱い、顧客に信頼される情報システム構築をすべく、自ら企業グループ全体で情報セキュリティ対策を実践する戦略を持っている。このため、グループ企業間での情報共有を積極的に行うための統一セキュリティポリシーを策定し、グループ企業間で平等に監査をしあう体制を整備している。

事例１

あるエレクトロニクス製造・販売企業では、技術情報管理サーバのセキュリティの実態を調査し改善していく過程で、台数を大幅に削減することに成功した。また、個人情報についての実態把握と不要な情報を削減することで、データ数を適正規模に抑制することができた。結果的にリスクを減らすとともに、管理コストや電力消費量を画期的に削減することに成功した。

事例２


43

明確な経営層の意志とその徹底の必要性明確な経営層の意志とその徹底の必要性

経営上の位置づけが不明確で現場任せ

情報セキュリティガバナンスの確立方法に関する情報が不足

ＩＴの観点を含めた事業継続計画の必要性が増大

2.9%

1.6%

4.0%

10.6%

12.6%

24.3%

35.1%

38.7%

40.4%

66.1%

0% 10% 20% 30% 40% 50% 60% 70% 80%

無回答

その他

法制度

技術・ツール

市場・顧客の評価

予算

担当部署の体制・権限

経営トップの意思

効果測定・評価方法

社員の意識・理解度

情報セキュリティガバナンスシンポジウム2008アンケート結果。回収数445件（回収率 52.3%）

情報セキュリティガバナンス確立に係る課題（複数回答可）

21 53 18 8

17 55 20 7

24 51 16 8

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

全産業

製造業

非製造業

防災計画、事業継続計画の策定状況

特に防災関連の計画はない

避難、安否確認等の応急対応を中心とした防災計画がある

応急対応を含む防災計画を策定し、事業継続計画にも着手している

事業継続計画を含む防災計画を策定済みである

事業継続計画の策定状況

日本政策銀行「企業の防災への取り組みに関する特別調査」平成19年9月（大企業から1,530件の回答を集計）

我が国：１割程度我が国：１割程度


44

安全な情報資産の共有安全な情報資産の共有

委託先からの情報漏えいへの対応

グローバル化への対応

大企業と中小企業の格差が拡大

グループ企業内の情報資産の管理の徹底

14.7% 13.9%15.9%

12.6%

15.0%

10.7%

24.9%

18.4%

21.7% 20.9%

15.2%

13.0%

8.8%

2.7%3.7%

0.0%

5.0%

10.0%

15.0%

20.0%

25.0%

30.0%

セキ

ュリ

テ

ィポ

リ

シー

の策

定

全

社

的

な

セキ

ュリ

テ

ィ

管

理

者

の配

置

部

門

ご

と

の

セキ

ュリ

テ

ィ

管

理

者

の配

置

従

業

員

に対

す

る情

報

セキ

ュリ

テ

ィ教

育

セキ

ュリ

テ

ィ監

視

ソフ

ト

の導

入

H14年度

H15年度

H16年度

大企業と中小企業の格差

情報処理実態調査より作成

情報漏えいが生じた際の経路・状況

警察庁「不正アクセス行為対策等の実態報告書」平成19年1月


45

説明責任への適切な対応説明責任への適切な対応

必要な者に対して情報セキュリティ対策に関する情報開示が不十分、推進策の必要性

6.1

9.5

11.8

0%

5%

10%

15%

2005年度(N=3,782)

2006年度(N=3,670)

2007年度(N=3,920)

情報セキュリティに係る開示状況の推移

経済産業省「情報セキュリティガバナンス研究会報告書」平成19年3月

まだ約１割まだ約１割


46

情報セキュリティ基本問題委員会中間取りまとめ案～情報セキュリティガバナンスを確立する上での課題と施策～

明確な経営層の意志と徹底明確な経営層の意志と徹底安全な情報資産共有安全な情報資産共有

・経営上の位置づけが不明確で現場任せ

・情報セキュリティガバナンスの確立方法に関する情報が不足

・ＩＴの観点を含めた事業継続計画の必要性が増大

・グループ企業内の情報資産の管理の徹底

・大企業と中小企業の格差が拡大

・委託先からの情報漏えいへの対応

・グローバル化への対応

・必要な者に対して情報セキュリティ対策に関する情報開示が不十分、推進策の必要性

説明責任への対応説明責任への対応

・異なる目的の法令に対して情報セキュリティの観点から遵守する方法についての情報が不十分

法令遵守法令遵守

課題課題

・IT経営協議会における戦略的取組みの議論の場の形成

・「情報システム・情報セキュリティに係る内部統制ガイダンス」（仮称）の策定・公表

・情報セキュリティガバナンスポータルサイトの整備

・情報セキュリティガバナンス事例集の策定

・ITサービス事業継続向上のための情報提供

・情報セキュリティガバナンス確立に向けたインセンティブ

・情報セキュリティ、ガバナンス関連の実施主体との連携

・情報セキュリティガバナンス事例集の策定（再掲）

・中小企業が情報セキュリティ対策に取り組む環境の改善

・海外アウトソーシング時のリスクチェック手法の検討

・アジアにおける情報セキュリティ確保の推進・貢献

・アジアにおける企業内緊急時対応組織構築支援の協力

・「情報セキュリティ情報開示イニシアティブ」（仮称）の実施

・情報セキュリティガバナンスポータルサイトの整備（再掲）

・事故前提社会における消費者への情報提供方法の検討

・民間における情報セキュリティ格付けの取組みの促進

・情報セキュリティ、ガバナンス関連の実施主体との連携（再掲）

・情報セキュリティ関連法律上の要求事項（準則）の公表

施策施策

グローバル

グローバル


47

情報セキュリティ関連法律上の要求事項検討

課題・目的＜課題＞■企業自体、法的問題への理解が十分でない場合や、管理策を策定・実施する際に、関連する法制度の内容が必ずしも明確でないこと等が、情報セキュリティ対策を進める上で阻害要因となっていた。＜目的＞■企業が情報セキュリティ対策を進める上で、有用となるいくつかの法的論点について検討し、それぞれについて基本的な考え方と解説を提示する。

＜課題＞■企業自体、法的問題への理解が十分でない場合や、管理策を策定・実施する際に、関連する法制度の内容が必ずしも明確でないこと等が、情報セキュリティ対策を進める上で阻害要因となっていた。＜目的＞■企業が情報セキュリティ対策を進める上で、有用となるいくつかの法的論点について検討し、それぞれについて基本的な考え方と解説を提示する。

検討法律

・民事法・会社法・金融商品取引法・不正競争防法・労働法・派遣法・個人情報保護法・刑事法・独占禁止法・下請法・著作権法

・民事法・会社法・金融商品取引法・不正競争防法・労働法・派遣法・個人情報保護法・刑事法・独占禁止法・下請法・著作権法

主査：岡村久道弁護士、英知法律事務所主査：岡村久道弁護士、英知法律事務所

WG


48

ＩＴサービス継続ガイドライン概要

ガイドラインの構成

ITサービスとは

組織における業務の遂行に際して必要となるIT等によって提供される機能。

組織内エンドユーザ

ITサービス

IT部門

外部組織

組織提供ASP等

ITサービスのスコープ

EUC提供者

提供EUC

提供基幹システム等提供

＜目的＞■「事業継続計画（BCP）策定ガイドライン」のITにかかる部分について、ITサービス継続戦略を策定する「組織の経営管理者」と戦略を具体化して実施する「IT部門」を念頭に実施策を具体化し、BCPへの取組の実効性の向上を支援する。＜WG＞主査：渡辺研司長岡技術科学大学准教授

＜目的＞■「事業継続計画（BCP）策定ガイドライン」のITにかかる部分について、ITサービス継続戦略を策定する「組織の経営管理者」と戦略を具体化して実施する「IT部門」を念頭に実施策を具体化し、BCPへの取組の実効性の向上を支援する。＜WG＞主査：渡辺研司長岡技術科学大学准教授

1. 背景と目的

2. ITサービス継続

3. 定義

4. ITサービス継続マネジメント

4.1 ITサービス継続マネジメントのフレームワーク

4.2 ITサービス継続戦略

4.3 ITサービス継続計画

4.4 ITサービス継続体制の実装、運用、維持及び監査

5. 管理項目

5.1 IT依存性の検討

5.2 システムアーキテクチャの検討：ITサービス継続を実現するためのシステム構成等の紹介

5.3 技術的対策：災害対策を実現するためのシステム構築技術を紹介

5.4 運用的対策：ITサービス継続計画運用における各要素の具体的対策

6. 参照基準：本ガイドライン策定において参照した基準

49


技術的対策の推進


50

技術的情報セキュリティ対策推進事業（全体像）

安心・安全なＩＴ社会を実現するためには、安全なＩＴ製品安全なＩＴ製品の社会への幅広い普及、電子認証技術を利用した電電

子署名の利用促進子署名の利用促進及びそれらを支えるための技術開発、研究開発等技術開発、研究開発等を実施することが必要。具体的には以下

のような施策等を実施。

情報セキュリティ技術情報セキュリティ技術についての第三者評価等第三者評価等の推進。ＩＴ製品（ＯＳ、ルーター等）：国際標準ISO/IEC15408（コモンクライテリア）に基づいた第三者評価・認証制度を推進

暗号（ＲＳＡ、ミスティー等）：電子政府推奨暗号（平成15年2月選定）の安全性を監視

暗号製品（ＩＣカード等）：国際標準ISO/IEC19790に基づいた第三者試験・認証制度を推進

セキュリティ評価技術の確立：暗号モジュール（暗号製品）に係るセキュリティについての評価技術の開発を推進

情報セキュリティ技術に係る技術開発・研究開発を推進技術開発・研究開発を推進アクセス制御技術、未知ウイルス予防技術等

電子認証技術を利用した電子署名の利用促進電子署名の利用促進電子署名法制度の円滑な実施 → 認証業務に係る技術の評価に関する調査研究、利用者等に対する必要な情報提供等を

行い、適切な電子署名の利用を可能とする。

モバイルPC

ISO/IEC 15408認証

暗号製品の評価技術

ネットワークネットワーク

PC

サーバ機器

モバイルPC

携帯電話ネットワーク機器

プリンタ

新技術の開発等サーバ機器

電子認証技術を利用した電子署名の利用促進

暗号技術の安全性を監視


51

技術的対策の推進～ITセキュリティ評価及び認証制度（IT製品等の安全性に係る国際的な評価認証制度）～

国際基準（ISO/IEC15408）に基づき、 IT製品等の安全性を評価・認証する制度http://www.ipa.go.jp/security/jisec/index.html

独立行政法人情報処理推進機構独立行政法人情報処理推進機構認証

（Ｃｅｒｔｉｆｉｃａｔｉｏｎ）

*1：Common Criteria Recognition Arrangement*2 JEITA：社団法人電子情報技術産業協会、ECSEC：株式会社電子商取引安全技術研究所、MHIR：みずほ情報総研株式会社

申請者メーカ、ベンダ

申請者メーカ、ベンダ

認証報告書認証報告書

認証書

ＮＩＴＥ独立行政法人製品評価技術基盤機構

ＮＩＴＥ独立行政法人製品評価技術基盤機構

評価依頼

評価

評価機関の認定

対象製品

ハードウェアソフトウェア

ＩＣ

カード

（Ａｃｃｒｅｄｉｔａｔｉｏｎ）

（Ｅｖａｌｕａｔｉｏｎ）

評価基準

ＩＳＯ/ＩＥＣ15408

ＣＣＲＡ＊1

評価機関(JEITA、ECSEC、MHIR)*2

認証機関

評価報告

申請

認定機関

認証製品数：168件（H20年5月末現在）


52

技術的対策の推進～ITセキュリティ評価及び認証制度に係る国際相互承認協定（ＣＣＲＡ*）～

*：ＣｏｍｍｏｍＣｒｉｔｅｒｉａＲｅｃｏｇｎｉｔｉｏｎＡｒｒａｎｇｅｍｅｎｔ

国際標準ISO/IEC15408セキュリティ評価基準(Common Criteria) に基づいて評価・認証した認証製品を13ヵ国間で、相互に承認日本は、2003年10月に参加さらに、12ヵ国が認証製品を受入我が国ＩＴ製品の国際競争力強化に必須

セキュリティが保証された安全なIT社会の構築のために認証製品を流通

フランス

（認証国:CAP*1）

*1 CAP：Certificate authorising participants *2 CCP： Certificate consuming participants

（受入国:CCP*2）

2008年5月現在

受入れ

日本

アメリカ

イギリス

ドイツ

ノルウェー

オーストラリアニュージーランドオランダ

カナダ

韓国

スペイン

イスラエルギリシャイタリアフィンランド

スウェーデン

オーストリアトルコ

ハンガリーチェコシンガポールインドデンマークマレーシア


53

技術的対策の推進～暗号モジュール試験及び認証制度（ＪＣＭＶＰ）～

暗号モジュールに暗号アルゴリズムが適切に実装され、その内部に格納された暗号鍵、パスワード等の重要情報が適切に保護されていることについて、第三者機関である（独）情報処理推進機構（ＩＰＡ）が、国際標準（ISO/IEC19790）に基づき試験・認証する制度。2007年4月から本格運用を開始。

申請者

暗号モジュールのベンダ、供給者など

試験機関認証機関

運用ガイダンス

試験方法

セキュリティ要件

セキュリティポリシー

暗号モジュール試験報告書

ブロック図

ソースコード etc

暗号アルゴリズム

暗号モジュール

暗号アルゴリズム試験

暗号モジュール試験

暗号アルゴリズム確認

暗号モジュール認証

暗号アルゴリズム試験報告書

セキュリティポリシー

暗号アルゴリズム確認書

⑤

⑥

⑦

①

②

③

④

認証対象製品

ICカード

PCIカード

ルータ

USB HSM

ソフトウェア暗号ライブラリ

【試験・認証の流れ】◆ 試験機関は暗号アルゴリズム試験を行い、試験結果を認証機関に提出（①～②）◆ 認証機関は、試験結果により暗号アルゴリズムが適切に実装されていることが確認された場合には、暗号アルゴリズム確認書を発行（③）

◆ 試験機関は、暗号モジュール試験を行い、試験結果を認証機関に提出（④～⑥）◆ 認証機関は、試験結果より暗号鍵、パスワード等の情報が適切に保護されていることが確認された場合には、暗号モジュール認証書を発行（⑦）

【暗号モジュール】暗号モジュール認証書

認証報告書


54

技術的対策の推進～電子政府推奨暗号リスト～

平成15年2月20日総務省経済産業省

技術分類名称

DSA

ECDSA

RSASSA-PKCS1-v1_5

RSA-PSS

RSA-OAEP

守秘

RSAES-PKCS1-v1_5(注1)

DH

ECDH

PSEC-KEM(注2)

CIPHERUNICORN-E

Hierocrypt-L1

MISTY1

3-key Triple DES(注4)

AES

Camellia

CIPHERUNICORN-A

Hierocrypt-3

SC2000

128 ビットブロック暗号

64 ビットブロック暗号(注3)

共通鍵暗号

鍵共有

署名

公開鍵暗号

PRNG based on SHA-1 for general purpose in FIPS 186-2 (+ change notice 1) revised Appendix 3.1

PRNG based on SHA-1 for general purpose in FIPS 186-2 (+ change notice 1) Appendix 3.1

PRNG based on SHA-1 in ANSI X9.42-2001 Annex C.1

擬似乱数生成系(注7)

SHA-512

SHA-384

SHA-256

SHA-1(注6)

RIPEMD-160(注6)

ハッシュ関数

その他

128-bit RC4(注5)

MULTI-S01ストリーム暗号

MUGI

共通鍵暗号

(注1)SSL3.0/TLS1.0 で使用実績があることから当面の使用を認める。(注2)KEM（Key Encapsulation Mechanism）-DEM(Data Encapsulation Mechanism)構成における利用を前提とする。(注3)新たな電子政府用システムを構築する場合、より長いブロック長の暗号が使用できるのであれば、128 ビットブロック暗号を選択することが望ましい。(注4)3-key Triple DES は、以下の条件を考慮し、当面の使用を認める。

1) FIPS46-3 として規定されていること2) デファクトスタンダードとしての位置を保っていること

(注5)128-bit RC4 は、SSL3.0/TLS1.0 以上に限定して利用することを想定している。なお、リストに掲載されている別の暗号が利用できるのであれば、そちらを使用すること

が望ましい。(注6)新たな電子政府用システムを構築する場合、より長いハッシュ値のものが使用できるのであれば、256ビット以上のハッシュ関数を選択することが望ましい。ただし、公開鍵暗号での仕様上、利用すべきハッシュ関数が指定されている場合には、この限りではない。(注7)擬似乱数生成系は、その利用特性上、インタオペラビリティを確保する必要性がないため、暗号学的に安全な擬似乱数生成アルゴリズムであれば、どれを利用しても基本的に問題が生じない。したがって、ここに掲載する擬似乱数生成アルゴリズムは「例示」である。


55

技術的対策の推進～新世代情報セキュリティ研究開発事業～

情報技術の進歩や社会情勢の変化に伴い、情報セキュリティに係る脅威は急速に変化・拡大していることから、これまでの対症療法的な対策だけではなく、長期的な視点に立って、情報セキュリティ上の問題に包括的に対応することを目指した研究開発を行っていくことが極めて重要となってきている。このため、新たな研究分野を設定して、各分野毎に研究開発を行う。

情報技術の進歩や社会情勢の変化に伴い、情報セキュリティに係る脅威は急速に変化・拡大していることから、これまでの対症療法的な対策だけではなく、長期的な視点に立って、情報セキュリティ上の問題に包括的に対応することを目指した研究開発を行っていくことが極めて重要となってきている。このため、新たな研究分野を設定して、各分野毎に研究開発を行う。

事業の概要事業の概要

分野例：フェイルセーフセキュリティ技術基盤整備分野例：フェイルセーフセキュリティ技術基盤整備

■従来の対策・箱（防壁）の強化・一つの穴（脆弱性、人的ミス）により致命的結果に繋がる

■従来の対策・箱（防壁）の強化・一つの穴（脆弱性、人的ミス）により致命的結果に繋がる

■フェイルセーフ・箱（壁）の多層化・一つの穴があっても、即、致命的結果に繋がらない

■フェイルセーフ・箱（壁）の多層化・一つの穴があっても、即、致命的結果に繋がらない

■現在の情報保護基盤を根本から変える技術

■実際の研究内容例：・フェイルセーフシステムアーキテクチャ・暗号鍵が危殆化した場合の鍵更新技術・仮想実行・監視実行技術

分野例：セキュアアセットコントロール技術の開発分野例：セキュアアセットコントロール技術の開発

■自己に関する情報の開示の是非とその範囲を自ら決定できるコントローラブルな情報保護技術

■実際の研究内容例：・情報不正利用者の追跡技術・非接触ICカード向け匿名認証技術・情報漏洩の自動検知とデータ無効化技術

追跡

自動検知

無効化

・新世代セキュリティ基盤技術・新世代モニタリング・ディテクション技術・他

・新世代セキュリティ基盤技術・新世代モニタリング・ディテクション技術・他

その他分野例：その他分野例：参考：主な米連邦政府情報セキュリティ関連研究開発予算参考：主な米連邦政府情報セキュリティ関連研究開発予算

・NSF （2004年度）：約28.5百万ドル（≒約30億円）この他、NIST、NSA、軍、DARPA、DHS、エネルギー省等も研究を実施（予算額は不明）

・NSF （2004年度）：約28.5百万ドル（≒約30億円）この他、NIST、NSA、軍、DARPA、DHS、エネルギー省等も研究を実施（予算額は不明）

Documents

わが国の情報セキュリティ政策についてjasa.ongara.com/past/seminar/sym2008/pdf/s2008tokyo01.pdf · meti 経済産業省 0 わが国の情報セキュリティ政策について