Embed Size (px)
DESCRIPTION
2012年12月5日に東京・中央区のベルサール八重洲で開催された、ITフォーラム「地方自治組織における危機管理~サイバー攻撃対応編~」(主催・経済産業新報社、後援・ブルーコートシステムズ合同会社)における経済産業省 情報セキュリティ政策室長 上村 昌博(うえむら まさひろ)氏による経済産業新報セミナー資料報告。 http://www.itforum-roundtable.com/
Citation preview
サイバー攻撃の脅威が増大する中、
我が国の情報セキュリティ政策の現状
平 成 2 4 年 1 2 月 5 日
経 済 産 業 省
商 務 情 報 政 策 局
情報セキュリティ政策室
情報通信、金融、航空、
鉄道、電力、ガス、政府・
行政サービス、医療、
水道、物流
情報セキュリティ対策を支える体制 -我が国政府内の役割分担-
重要インフラ 個人 企業 政府機関
政府対策基準の策定
政府機関へのサイバー攻撃防御
通信ネットワーク対策
自治体の対策
サイバー犯罪対策
協力
重要インフラ(10分野)所管省庁
(金融、国交、厚生)
为要 4省庁
・基本戦略
・国際戦略
・政府総合対策
・重要インフラ対策
・事案対処支援
国家防衛
すべての基礎を支える情報システムの対策
重要インフラ'電力、ガス(
企業・個人の対策
総務省
警察庁
経済産業省
防衛省
内閣官房情報セキュリティセンター
IT戦略本部(本部長:内閣総理大臣)
情報セキュリティ政策会議(議長:内閣官房長官)
1
2
「情報セキュリティ問題に取り組む政府の役割・機能の見直しに向けて」'2004年12月7日IT戦略本部決定(を受け、情報セキュリティ問題に関する政府中核機能の強化に向けて機能・体制等を整備。
2005年4月25日、内閣官房情報セキュリティセンター'NISC;
National Information Security Center(を設置。
2005年5月30日、IT戦略本部の下に「情報セキュリティ政策会議
(議長:内閣官房長官)」を設置。
→ これまでの開催実績:2005年7月14日に第1回を開催し、本年11月1日
までに合計31回開催
情報セキュリティ政策会議構成員
議長
藤村 修 内閣官房長官
議長代理
前原 誠司 特命担当大臣'科学技術政策(
構成員
小平 忠正 国家公安委員会委員長
樽床 伸二 総務大臣
枝野 幸男 経済産業大臣
森本 敏 防衛大臣
遠藤 信博 日本電気'株(代表取締役執行役員社長
小野寺 正 KDDI'株(代表取締役会長
土屋 大洋 慶應義塾大学大学院准教授
野原 佐和子 '株(イプシ・マーケティング研究所代表取締役社長
前田 雅英 首都大学東京教授
村井 純 慶應義塾大学教授 '※( 外務大臣は構成員ではない。「構成員以外の国務大臣も必要に応じて会議に出席し、意見を述べることができる」との
規定が会議設置要項にあり、サイバー空間における国際協力の観点から参加'第28回'H24.1.24)~(。
4
《インフラの制御システムへの攻撃》 2010年9月 イラン核施設を標的とし、制御システムに誤作動を起こさせるコンピュータウイルス「スタックスネット」によるサイ バー攻撃が発生。ウラン濃縮に必要な遠心分離機が稼働不能に陥った。 《共通的な思想集団による攻撃、個人情報の大量流出》 2011年4月 大手電機メーカ子会社が提供するゲーム関係ネットワークに対して、アノニマスと呼ばれる特定目的を持ってサイ
バー攻撃を行う匿名集団による攻撃。約60か国・地域の約7700万人の個人情報が流出。 《情報窃取を目的とする標的型の諜報攻撃》 2011年9月 重工業へ標的型メールによるサイバー攻撃があり、本社のほか工場、研究所など国内複数拠点でウイルス感染。 《遠隔操作ウイルスを利用した犯行予告》 2012年9月 放火・殺害等予告の書き込みをした容疑による逮捕。しかし後日、遠隔操作ウイルスを利用した第三者による書
き込みであることが判明。 《ウイルス感染によるネットバンキングの不正送金》 2012年10月 ネットバンキングでログイン後に、不正なポップアップ画面からパスワード等を入力させ、預金者の口座から不
正な送金を行う事件が発生。預金者のPCがウイルスに感染していたことが原因。
スタックスネット
によるイランの
核施設への
サイバー攻撃
Google等に
対する
標的型
サイバー攻撃
警視庁
国際テロ
情報流出
尖閣諸島沖
中国漁船
衝突映像
流出
我が国
政府機関に
対する
サイバー攻撃
ウィキリークス
による米国
外交公電等
の暴露
東日本大震災
による
サプライチェーン
・ライフライン
への損壊
ソニーに対する
サイバー攻撃
により大規模な
個人情報漏えい
2010.1 2010.9 2010.9 2010.10 2010.11 2010.11 2011.3 2011.4
国内における標的型攻撃メールの歴史
年月 事象
2005年10月 実在の外務省職員を詐称して、ウイルスを埋め込んだMS Wordファイルが添付された日本語メールが複数の官公庁に届いた。
2006年5月 新聞社を詐称して、ウイルスを埋め込んだMS Wordファイルが添付された日本語メールが民間企業に届いた。
2007年7月 未修正の一太郎の脆弱性を悪用したウイルスメールが発見された。(ゼロデイ攻撃)
2007年10月 Adobe Readerの脆弱性を悪用してPDFファイルにウイルスを埋め込んだウイルスメールが発見された。
2008年11月 標的型攻撃メールに関する組織内の注意喚起メールを加工して、多数の従業員に標的型攻撃メールが届いた。
2009年7月 添付ファイルのない標的型攻撃メールが発見された。
2011年3月 地震や原発事故を話題にした標的型攻撃メール多発。
2011年7月 おれおれ詐欺を模倣した標的型攻撃メールが発見された。
2011年9月 防衛、重工関連企業などで標的型攻撃の被害発生。
出所:IPA業界団体向け情報セキュリティ対策説明会資料( 2011年11月)より
■Stuxnetの概要
・ 2010年9月に、イランにある核燃料施設のウラン濃縮用遠心分離機を標的として、サイバー攻撃がなされた
・4つの未知のWindowsの脆弱性を利用しており、PCの利用者がUSBメモリの内容をWindows Explorerで表示することにより感染する
・遠心分離機には過剰な負荷がかかり、20%が破壊されたと言われている
・イランの核開発計画は、Stuxnetにより大幅に遅れた(3年程度)との噂もある
Source: http://ebiquity.umbc.edu/blogger/2010/09/23/is-stuxnet-a-cyber-weapon-aimed-at-an-iranian-nuclear-site/
シマンテック社が確認した感染数を各国別に示したもの
マルウェア
USBメモリ
S7シリーズの PLC
遠心分離機
制御用PC
SIMATIC WinCC
マルウェア感染
6
7
水道事業者へのサイバー攻撃
[攻撃対象]米国南ヒューストン市の下水道施設
[発生事象]インターネット経由でシステムへの侵入検証、検証結果を公開
[原因]注意喚起が目的
鉄道会社へのサイバー攻撃
[攻撃対象]米国北西部の鉄道会社
[発生事象]鉄道の信号が混乱し、徐行運転をせざるを得ない状況が発生
[原因]ハッカーの攻撃により、鉄道会社の信号システムがダウン
標的型サイバー攻撃の増加
'経済産業省への標的型サイバー攻撃事例(
・ 平成22年11月、経済産業省の職員を装い、情報流出の機能があるウイルスが添付されたメールが省内職員宛に送付。
・ 約20人の職員が開封・ファイルを実行。ウイルスは機能せず、情報流出は無し。
サイバー攻撃のイメージ
攻撃者 社内PC
データ サーバ
社外 社内
ウイルス感染
'標的型攻撃メールのイメージ(
From: ●●●@●●●.go.jp To: ●● Subject:【最新資料送付・取扱注意】【表敬時間変更】【暫定版送付】11月25日'木(16:00~16:30大畠大臣×ムハメジャノフ・カザフスタン共和国下院議長について
各位 >
大変お世話になっております。 本日10:30~10:45、標記表敬に関して●●審議官レクを行いました。 結果、発言応答要領のP6とP7が変更'内容を簡素化(となりましたので共有いたします。
また、以上をもちまして大畠大臣レク用資料セットとなりましたので共有いたします。
①メール
不審メール
②可搬メディア
③不正侵入
CD-ROM、 USBメモリー等
ホームページ
データへ アクセス
情報流出
ファイアーウォール等
不正侵入
33%
45%
22%
ある
ない
【我が国における標的型サイバー攻撃の有無】
'2007年( '2011年(
特定の組織を標的とし、为として知的財産の詐取を目的とした標的型サイバー攻撃が、我が国において4年間で6倍に増加。
分からない
2.5% 5.4%
0.8%
91.3%
このうち約20%が実際に不正プログラムに感染
ない
関係者を装った社員宛のウイルスメール
スピアフィッシング
「DoS」をしかけるという脅迫メール
9
背 景
大規模なサイバー攻撃事案等の脅威の増大
国民を守る情報セキュリティ戦略(2010-2013) '平成22年5月情報セキュリティ政策会議決定(
・ 2009年7月、韓国内を中心とするボット感染PCから、米国・韓国の政府機関等へDDoS攻撃。
・ 国内の多数のウェブサイト改ざんなど、攻撃手法は複雑・巧妙化。
・ 重要インフラにおけるITによるシステム制御、金融分野での事案発生等を踏まえた、国民生活の安全確保。
新たな環境変化
・ クラウド、情報家電、携帯端末など技術的な展開、暗号の危殆化につながるコンピュータ演算能力の向上への対応
・ グローバル化の中、海外でも安全・安心なIT利用環境を整備すべき。個人情報保護への対応など、法制度面対応も。
・ 国民の8割は、情報セキュリティの確保に不安感を有する。
・ あらゆる機器がネットワークに接続され、社会・経済のIT依存度は増大。
→ 情報セキュリティ確保は社会基盤の一つへ。
10
・ 大規模サイバー攻撃等、安全保障・危機管理に影響し得るサイバー攻撃から国民を守るための、平素からの取組強化。
・ サイバー攻撃が発生した際に有効に対処できる体制整備。
・ 新たな環境変化に柔軟に対応した情報セキュリティ政策の確立。
- 社会・経済のIT依存度増大、あらゆる機器がネットワークに繋がり、情報が国境を越えて自由に流通。
・ 受動的な対策から能動的な対策へ
- リスクが発生した時点でその都度対処するといった対症療法的な対策ではなく、問題の根本的解決をもたらすように。
- PDCAサイクル活用など、各为体が能動的に取組を進められる体制の整備。
・ 2020年までに、インターネットや情報システム等の情報通信技術を利用者が活用するにあたっての脆弱性を克服し、
全ての国民が情報通信技術を安心して利用できる環境 '高品質、高信頼性、安全・安心を兼ね備えた環境(を整備し、
世界最先端の「情報セキュリティ先進国」を実現。
基本方針
実現すべき成果目標
- サイバー攻撃等、ITに係る全ての脅威への対応力を世界最高水準に高める。
- 政府の事案対処能力を充実・強化する。
- 全ての国民が、情報セキュリティに対する不安を感じずにITを積極的に活用出来る環境を構築する。
11
サイバー空間上の我が国の安全保障・危機管理の確保 情報通信技術の利活用を促進し、我が国の経済成長に寄与
重点的な取組
安全・安心な国民生活を実現
・ 国際連携の強化
・ ITリスクを克服し、安全・安心な国民生活を実現
・ サイバー空間の安全保障・危機管理の強化と、IT政策との連携
・ 安全保障・危機管理及び経済の観点に、国民・利用者保護の観点を加えた 3軸構造の総合的な政策を
確立。特に、国民・利用者の視点を重視した政策を推進。
- 特に、国民の日常生活に関わりの深い社会経済活動を支える重要インフラ防護の強化によって。
- 安全保障・危機管理に係る政策を強化する際は、社会経済活動の基盤としてのITの利活用を推進するという、IT基本法等の理念に沿って
行われている政策との十分な連携を図る。
- 安全保障・危機管理、IT政策といった観点からの情報セキュリティ政策のみならず、IT革命の恩恵は国民一人一人が享受すべきであるとの
基本理念に立ち返り、特に、国民・利用者の視点を重視した情報セキュリティ政策を推進する。
- グローバルな観点での各国制度の相互の調和等、国際連携・協調を強化する。特に、データプライバシー保護等を含む広義の情報セキュリティ
政策に関する国際連携を推進する。
12
具体的な取組
・ 「事故前提社会」という認識共有。対応力強化のため、持続的に情報セキュリティ対策を改善。
・ 「基礎対応力」を常に向上させておく。内閣官房が中心となり関係省庁が連携。国際連携も推進。
・ 情報システムの構築や通信サービス等は民間为体。官民役割分担を明確にした官民連携の強化。
・ 「緊急事態に対する政府の初動対処体制について'平成15年11月21日閣議決定(」等に基づき、事案発生時の政府
及び関係機関の迅速かつ適切な初動対処を取るための態勢を整備。訓練も実施。
1.大規模サイバー攻撃への対処態勢の整備 等
・ 重要インフラ事業者の協力が不可欠。官民緊密連携のため、重要インフラ事業者の理解・協力促進に努める。
・ 諸外国が戦力強化を必要とする分野にサイバー空間も。防衛分野でのサイバー攻撃対処能力を強化。
・ デジタルフォレンジックや国際的な捜査協力により、サイバー犯罪を取締り。
・ 情報交換、国際会議等への積極的参加を通じ、国際連携を強化。
・ 平素から、内閣官房と各省庁の間で(国際連携も含み(、サイバー攻撃への対処に資する情報収集・分析・共有を強化。
13
・ 最高情報セキュリティ責任者'CISO(の連絡会議や、同アドバイザー連絡会議を設置。
2.新たな環境変化に対応した情報セキュリティ政策の強化
・ 政府機関情報システムの24時間監視を行っているGSOCについて、連絡体制や関係連携機関との連携強化。
・ 政府機関で使われている電子政府推奨暗号について、適切な利用を推進。
・ クラウドコンピューティングに関するセキュリティ対策。
・ セキュリティ製品の調達に係る政府機関統一基準の定着と適切な見直し。調達企画段階からセキュリティ対策
を適切に組込み。評価認証制度の活用。
・ 社会保障・税の共通番号制の検討に際し、プライバシーポリシーの下での適切なセキュリティ対策を検討。
・ 地方公共団体、独立行政法人等における情報セキュリティ対策の一層の推進。
・ 「重要インフラの情報セキュリティ対策に係る第二次行動計画」に基づく、官民の情報共有体制の強化等。
・ 情報家電、携帯端末等、あらゆるものがネットワークに繋がった場合のセキュリティ対策。
・ 医療・教育分野等におけるセキュリティ対策
・ 中小企業に対するセキュリティ対策支援(情報提供、相談窓口(
・ 普及啓発の充実・強化
・ 人材育成
・ セキュリティガバナンスの確立'BCP策定、監査の実施、財務システム更改時のセキュリティ確保等、経営課題化。(
'例示(
「情報セキュリティ2010」 (2010.7.22)
「情報セキュリティ2012」 (2012.7.4(
戦略
年度計画
2010年度 2011年度 2012年度 2013年度
「国民を守る情報セキュリティ戦略」 に基づく年度計画
情報セキュリティを取巻く環境(例)
「情報セキュリティ2012」の位置付け
「国民を守る情報セキュリティ戦略」'2010年5月策定・4カ年計画(
本格的なサイバー攻撃の発生と深刻化
・情報窃取を目的に尐数の攻撃対象に密かに潜入して行われる「標的型攻撃」'DDoS 攻撃のように顕示型とは異(の顕在化と、更なる進化の懸念。
社会経済活動の情報通信技術への依存度の更なる高まりとリスクの表面化 ・ スマートフォンは、利用者増、セキュリティ対策技術が発展途上、マルウェア作成が容易なOSの利用といった理由により、ローコスト・ハイリターンな攻撃対象。
・ 制御システムは、情報系システムから独立し技術も異なるため、セキュリティ上の懸念は小さいと考えられていた。しかし近年、情報系システムと同様の技術の採
用や相互接続のケースが増加。とりわけ重要インフラの制御システムのセキュリティ確保は国民生活の安全に直結し、早急な対応が必要。
新たな技術革新に伴う新たなリスクの出現
・ M2M(Machine To Machine) 環境の出現
重大な情報通信システム障害のリスク回避に向けた取組の必要性の高まり
・ 東日本大震災における電力の喪失や建物の損壊等
・ 携帯電話事業者等におけるシステム障害の発生
諸外国における取組の強化
・ 諸外国における情報セキュリティに対する戦略的な取組の強化、サイバー空間における国際的規範作りに関する議論の進展。
「情報セキュリティ2011」 (2011.7.8)
※1 ネットワークに繋がれた機械同士が人間を介在せずに相互に情報交換し、自動的に最適な制御が行われるシステムを指す。
※1
国や国の安全に関する重要な情報を扱う企業等に対する高度な脅威への対応強化
・ 標的型攻撃は攻撃対象が絞込まれ、かつ、ウイルス対策ソフトで検出できない未知のコンピュータウイルス等を用いて行われ、表面化
が難。入口対策に加えて、重要情報の暗号化、出口対策等の多段対策が必要。
・ 攻撃情報は、被害者の個人・企業情報に十分な配慮の上、対策手法を含め関係者間で共有し、更なる攻撃に備えることが有効。
→ 標的型攻撃に係る官民連携の枠組みを構築し、情報共有・分析検討を推進。
国際連携の強化 ・ 情報セキュリティの確保は世界共通の課題。国連における議論やサイバー空間に関するロンドン会議等を契機に、国際的な枞組み作りへの取
組が進展。各国の思惑が交錯する中、我が国の情報セキュリティに対するポジションを踏まえた枞組み作りがなされるためには、ハイレベルによ る戦略的な情報発信など枞組み作りへの積極的な参画が重要。 ・ インターネットの「開放性(Openness)」、「相互運用性(Interoperability)」を確保し、安全で信頼できるサイバー空間の確保が基本スタンス。社会
的・経済的便益を踏まえつつ、情報セキュリティの確保、通信の秘密の保護、個人情報の保護、知的財産権侵害対策等の課題に配慮し、国境を
越えた自由な情報の流通を阻害することのない、バランスのとれたアプローチを。
スマートフォンの本格的な普及等新たな情報通信技術の広まりに伴うリスクの表面化に対応した安全・安心な利用環境の整備
・ スマートフォンと携帯のセキュリティ上の相違が認識し難い中、最低限取るべき対策が不十分。今後、スマホの更なる高機能化と普及が見込ま
れる中、利用者にセキュリティ上の必要な対策を広く周知し、また、高機能化や脅威の動向に応じた技術的対策の確立が必要。
・ 個人情報や企業情報等の大規模集積がされるクラウドやSNS、そして制御システムについて、セキュリティ確保が不可欠。 ・ スマートグリッドをはじめM2M の利用拡大により、人が認識しない中で大量の情報がやりとりされ、その情報を基に機械的に最適さを判断する 場合、このネットワークセキュリティが侵されると、システム全体が予期せぬ方向に向かう畏れ。M2M に係る情報セキュリティの確保も課題。
基本方針
「情報セキュリティ2012」の为要な施策
2 大規模サイバー攻撃事態に対する対処態勢の整備等
○ 大規模サイバー攻撃事態等発生時の初動対処に係る訓練の実施等 (内閣官房、関係府省庁)
○ サイバー防護分析装置の機能強化(防衛省)
○ 悪質・巧妙化するサイバー犯罪の取締りのための態勢の強化(警察庁)
3 政府機関等の基盤強化
○ 情報セキュリティ緊急支援チーム(CYMAT)の設置(内閣官房、全府省庁)
○ 情報セキュリティガバナンスの高度化に向けた取組(内閣官房、全府省庁)
4 重要インフラの基盤強化
○ 共有脅威分析の実施(内閣官房)
○ 分野横断的演習の実施(内閣官房、重要インフラ所管省庁)
○ 制御システムに関する情報セキュリティの確保(経済産業省)
1 標的型攻撃に対する官民連携の強化等
○ 官民の情報共有の更なる推進(内閣官房、関係府省庁)
○ CSIRT等の体制の整備及び連携の強化(内閣官房、全府省庁)
○ サイバー攻撃高度解析機能の整備(総務省、経済産業省)
5 情報通信技術の高度化・多様化への対応
○ 官民連携・国際連携によるスマートフォン等の情報セキュリティ確保の推進(総務省、経済産業省)
○ 社会基盤としてのクラウドコンピューティングの情報セキュリティ確保の推進(総務省、経済産業省)
○ M2Mにおける情報セキュリティの在り方の検討及び研究開発の推進(内閣官房、総務省、経済産業省)
6 研究開発、産業振興の推進
○ 「情報セキュリティ研究開発戦略」の研究開発の推進(内閣官
房、関係府省庁)
○ 情報セキュリティ産業の振興(内閣官房、総務省、経済産業省)
7 情報セキュリティ人材の育成
○ 情報セキュリティに係る競技会等の実施(総務省、経済産業省)
○ 情報セキュリティに関する教育における産学連携の促進(文部科
学省、経済産業省)
8 情報セキュリティリテラシーの向上等
○ 「情報セキュリティ普及・啓発プログラム」の推進(内閣官房、関
係府省庁)
○ 国際連携を活用した普及・啓発活動の実施(内閣官房、関係府
省庁)
9 制度整備
○ サイバー刑法の円滑な施行(法務省)
○ 改正不正アクセス禁止法の適正な運用を始めとした不正アクセス防止対策の推進(警察庁、総務省、経済産業省)
10 国際連携の強化
○ ハイレベルによる戦略的な取組の強化(内閣官房、外務省、関係
府省庁)
○ サイバー空間に関する国際規範作りへの参画等(内閣官房、外務
省、関係府省庁)
経済産業省としては、昨年12月以来、サイバーセキュリティと経済研究会'委員長:村井純慶應義塾大学教授(において、標的型サイバー攻撃対策等について検討。本年8月、中間とりまとめを公表。これを踏まえ、下記の対策を実施。
平成23年10月7日開催 第27回情報セキュリティ政策会議資料
今月、標的型サイバー攻撃による被害拡大防止のため、重工、重電等、重要インフラで利用される機器の製造業者を中心に情報共有の場を構築。
情報共有パートナーシップの構築
【メンバー】
【今後の予定】
構成員 '調整中(
三菱重工、IHI、川崎重工、富士重工、日立、東芝、三菱電機、NEC、JPCERT/CC、'社(日本情報システム・ユーザー協会、'独(情報処理推進機構'IPA(、経済産業省
重要インフラ等のセキュリティ検証施設を構築、セキュリティ検証に関し日米協力'※(を実施。
※ 米国エネルギー省所管のアイダホ国立研究所では、重要インフラ等の制御システムの実機に対して模擬サイバー攻撃を行うセキュリティ検証施設を保有し、研究を実施。
本年9月、牧野副大臣とチュー米国エネルギー省長官との会談において、新たに研究協力を行うことを確認。
重要インフラ等のセキュリティ強化
本年10月以降
情報共有の場を構築
情報共有ルール等の整備
参加企業拡大、情報共有パートナーシップ本
格稼働
来年春以降
重要インフラ等
の制御システム
に対して模擬
サイバー攻撃を
行い、セキュリ
ティ検証を実施。
重要インフラ等のセキュリティ強化に向けた諸課題'セキュリティ基準、評価手法等(を検討するため、今月、官民によるタスクフォースを設置。来年春を目途に中間報告。
今年度中、情報共有ルール等の整備を実施。'委託調査実施中(。来年春を目途に参加企業を拡大し、情報共有パートナーシップ本格稼働。
【セキュリティ検証施設内のイメージ】
PLC PLC PLC PLC
標的型サイバー攻撃に対する今後の対策
本年4/2、重要インフラ機器製造業者9社'※(とIPA間で秘密保持契約を締結。ルールに基づく情報共有開始。
平成24年4月26日開催 第29回情報セキュリティ政策会議資料
経済産業省における「情報セキュリティ2012骨子案」への为な対応 官民連携による情報共有 セキュリティ対策を通じたインフラ輸出強化
IPA:'独(情報処理推進機構 外部連携先:JPCERT/CC等
【テストベッドの構築为体】
技術研究組合制御システムセキュリティセンター 理事長:新誠一'電気通信大学教授( 組合員:'独(産業技術総合研究所、IPA、アズビル、東芝、日立製作
所、富士電機、三菱重工業、三菱総合研究所、森ビル、横河電機
为たる実施場所: 宮城県多賀城市 みやぎ復興パーク内
※ 米国エネルギー省所管のアイダホ国立研究所では、テストベッドを 保有し研究を実施。既に、牧野副大臣と米国エネルギー省チュー 長官との間で新たな研究協力を確認。
○重要インフラ等で活用されている制御システムのセキュリティ強化を図るため、セキュリティ検証施設'テストベッド(を米国の協力を得つつ今年度中に構築。
○テストベッドにおいて、評価・認証手法に関する研究を行い、競争力強化に資する国際標準化推進 '2014年度目途に成立予定(。
○合わせて、評価・認証機関同士の国際相互承認実現に向けた取組を促進。
○今後、本ルールを踏まえつつ、重要インフラ等の分野にも枞組みを拡大。
ハブ組織
重要インフラ
機器製造業者
電力 ガス 石油 化学
※現在拡大に向けて検討中のグループ。
情報共有
海外評価・認証機関 国内評価・認証機関 国際相互承認
国際標準に則った 評価・認証
制御システムベンダ等
※IHI、川崎重工、東芝、NEC、日立、富士重工、富士通、三菱重工、三菱電機
サイバー攻撃高度解析機能の整備
近年、攻撃手法がますます複合化・複雑化するサイバー攻撃を高度解析する枞組みについて、総務省等と連携して構築していく。
テストベッドにおける 評価・認証手法に関する研究
国際標準化推進
○ 重要インフラ機器製造業者等の間でサイバー攻撃に関する情報共有を行う枞組みとして昨年10月に発足したJ-CSIPの下、情報共有のルールに合意。
'本年3/21( J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan
ジェイ シップ
平成24年7月4日開催 第30回情報セキュリティ政策会議資料
経済産業省における「情報セキュリティ2012案」への为な対応 官民連携による情報共有
○サイバー攻撃に関する情報共有を行う枞組みとして昨年10月に発足したJ-CSIPについて、新たに4グループ、14組織が参加を表明。
○今後、更なる参加企業の拡大を検討。 J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan
ジェイ シップ
ハブ組織'IPA(
重要インフラ機器
製造事業者
電力
ガス
石油
化学
新たに参加を表明
IHI、川崎重工、東芝、NEC、日立、富士重工、富士通、三菱重工、 三菱電機
電気事業連合会'6月29日参加(
日本ガス協会
石油連盟、JX、出光興産、昭和シェル石油、富士石油
宇部興産、昭和電工、住友化学、電気化学工業、トクヤマ、 三井化学、三菱化学
制御システム等のセキュリティ確保
○制御システムを含めた総合的なサイバー演習を電力、ガス、データセンター分野において実施。
○制御システムのセキュリティを確保するため、日米連携によるシンポジウムを7月13日に開催。
高度情報セキュリティ人材の育成
○若手向けセキュリティキャンプの実施'8月(。
○セキュリティコンテスト全国大会の実施'年度内(。
○情報セキュリティ人材の能力・知識の体系化。
サイバー攻撃高度解析機能の整備
○近年、攻撃手法がますます巧妙化・複雑化するサイバー攻撃に対応するため、サイバー攻撃解析協議会を発足予定'7月12日(。
○協議会の参加機関が保有する情報を元に、サイバー攻撃からの防御に必要な高度解析を実施。
○その結果を、NISC経由で関係省庁や重要インフラ関係事業者等へ提供し、サイバー攻撃対策に資する。
サイバー攻撃解析協議会
高度解析の結果
関係省庁、重要インフラ事業者、その他関係企業'J-CSIP参加企業(等
J-CSIP ジェイ シップ
1.CSIRT間協力(サイバー攻撃に対する国際連携)
平成24年11月1日開催 第31回情報セキュリティ政策会議資料
経済産業省の情報セキュリティに関する国際連携と意識啓発活動等
○重要インフラ等で活用されている制御システムのセキュリティについて、国際標準化・相互承認を目指し、「技術研究組合制御システムセキュリティセンター」'現在、13社にまで拡大(を通じた検証施設構築等の事業を推進。今後、米国国土安全保障省等とも連携して取組を加速。
○サイバー攻撃は国境を越えて発生する中、日本国内のインターネット環境や海外に進出している日本企業の安全を確保するためには、各国のサイバー攻撃発生時等の連絡窓口となるCSIRT'シーサート(間の協力体制を構築していくことが重要。
○経済産業省では、日本の窓口CSIRTであるJPCERT/CC'ジェーピーサートコーディネーションセンター(を通じて、途上国のCSIRT構築支援や、アジア太平洋地域のCSIRTと連携したインターネット定点観測等を実施。
途上国のCSIRT支援 2006年以降、アジア・アフリカ等途上国計21か国に対し、専門家派遣(のべ110人)や、分析能力を身につけるための研修(のべ60回以上)を実施し、CSIRTの新規構築や、構築後の運用を支援。
APCERT/TSUBAMEプロジェクト •アジア太平洋地域のCSIRTコミュニティであるAPCERTについて、JPCERT/CCが事務局を務め、現在は、議長も担当。
•各国CSIRTと協力し、ウイルスの感染活動等のセキュリティ上の脅威となるトラフィックを観測するセンサー網を整備(TSUBAMEプロジェクト)。観測情報の分析に基づき、注意喚起などの情報発信を実施。
2.国際標準化の推進
※CSIRT'Computer Security Incident Response Team( 各国の窓口CSIRTでは、サイバー攻撃発生等に際し、国内外の関係機関間で連絡をとりあい、被害の未然防止、拡大防止を図っている。
○サイバー攻撃の高度解析に向け、本年7月に設立した「サイバー攻撃解析協議会」では、協議会メンバーによる共同解析トライアルを経て、協議会内の情報共有ルールを整備。
○今後、協議会において、実際のサイバー攻撃で用いられたマルウェアの解析を進めるとともに、解析結果の活用方法についても、年度末までに引き続き検討。
※CTF'Capture the Flag( 情報システム内の目標データ(Flag)奪取を目指し、システム攻略の腕を競い合うコンテスト。実際のサイバー攻撃で用いられる手法の学習を通じ、実践的なセキュリティ人材の養成を目指すもので、米国で実施されているDEFCONが有名。
3.人材育成・意識啓発
○企業の現場等でセキュリティ業務に携わる人材の能力開発を図るため、実践的な経験を積める場として、「CTFチャレンジジャパン2012」を、来年2月に日本で初めて実施。
○国民の意識啓発を図るため、情報処理推進機構'IPA(は、最新の脅威動向に基づく呼びかけ等を実施。
4.サイバー攻撃解析協議会
最新動向を捉えた「呼びかけ」の実施 IPAでは、届出により入手した「遠隔操作ウイルス」を調査し、11月1日にその結果と対策を発表。
ワンストップポータルサイト IPAでは、平成23年末に取りまとめた「不正アクセス防止対策に関する行動計画」に基づき、36の関係省庁・団体・社の情報をワンストップで提供するポータルサイト「ここからセキュリティ!」を本年9月から公開。
IPAの実施する呼びかけの例
意識啓発標語、ポスター、漫画コンテスト IPAにおいて高校生以下を対象に募集。今年度受賞作品は11月8日発表。
社会人向けCTF'Capture the Flag(大会
<地方予選会> 参加募集時期:2012年9月~10月19日 開催都市:仙台、東京、大阪、福岡 開催時期:11月~12月の土日(2日間) 参加者:40チーム以上の社会人、大学院生等が参加見込み
主 催:NRIセキュアテクノロジーズ(受託事業者) ※平成24年度経済産業省委託事業 事務局:CTFチャレンジジャパン2012運営事務局 運営委員長:土居範久 慶応義塾大学名誉教授 ( 詳細は http://www.ctf-challenge.go.jp/ を参照)
<CTF競技概要> 形式:問題解答型+フラッグ取得型(※地方予選会はフラッグ取得型のみ) 会場の専用ネットワークに接続されたターゲットサーバに対して、ハッキング手法等を駆 使して侵入し、サーバ内に隠された問題やフラッグを入手して解答を求める。 最も得点が高いチームが優勝。同一得点の場合、フラッグ取得に要した時間で勝者を決定。
<全国大会> 日時:2013年2月2日~3日 場所:東京都(秋葉原UDX) 出場権:予選会の上位9チーム
22
「CTFチャレンジジャパン2012」の開催
若手セキュリティ人材の発掘・育成
高度な攻撃に適切に対応するためには、セキュリティに係るトップ人材の発掘・育成が急務。 →官民共同によるセキュリティキャンプ事業を新たに2012年度から開始し、若手層の尖がった人材発掘の裾野を拡大し、世界に通用するトップクラス人材を創出
丑丸逸人'うしまるはやと(氏
米ハッカー競技'DEFCON-CTF(の競技の1つで優勝(2010)。 現在'株(サイバーディフェンス研究所勤務。22歳。
従来のセキュリティキャンプとは'2004年~2011年( 現在はIPAが事務局。これまで8回開催し、約360名の学生を発掘・
育成'応募倍率は約5倍(。 卒業生の多くはIT企業の技術者、大学の研究者として活躍。 '※(2008年~2011年は「セキュリティ&プログラミングキャンプ」として実施。
官民共同セキュリティキャンプのポイント
民間企業とIPAが官民一丸となって若年層セキュリティ人材'22歳以下(の育成合宿を実施。倫理面も含めた「正しい」セキュリティ技術と最新のノウハウを第一線の技術者から若手に伝授。
地方においても講習会を行い、広く地域の優秀な若手人材を発掘。
旗取り合戦'CTF※(等による実践的な演習の導入。
'※(CTF:Capture The Flag:クイズ形式や攻守に分かれたシステム上のファイル獲得競争等で行われるハッカーコンテスト。海外では米国DEFCON、韓国CODEGATEなどが有名。
各方面で活躍するセキュリティキャンプ卒業生
忠鉢 洋輔'ちゅうばち ようすけ(氏
論文'OSの改ざんを防止する手法(が、コンピュータに関する難関の国際会議'ACM SAC2010※(で採択・発表。 現在筑波大学大学院 博士後期課程1年生。25歳。 ※Association for Computing Machinery / Symposium on Applied Computing
丹羽 直也'にわ なおや(氏
日本のソフト技術者によるコミュニティ「Androidセキュリティ部」を立上げ初代部長就任。業界から大きな注目。 現在灘高校2年生。17歳。
23
セキュリティキャンプ'2012年8月(の様子
経団連/CeFILにおける高度IT人材育成の取組
社会、企業のイノベーション
トップICT(π型)人材 技術と社会の融合化力、
解析力、ソフトスキル、実践力
社会人教育(学び教え合う場) 社会科学・人文科学・最先端技術
トップ人材育成評価
専門応用、最先端技術工学、課題解決、
事例研究、経営工学、社会と技術
専門基礎(情報学概論、ソフトウェア工学、
計算機入門、情報数学、プログラミング、・・・)
教養(人文科学、社会科学、自然科学)
大学院
学部
産学連携講座
(PBL
・最先端技術・・・)
大学・ 産業界
大学システム
教育研究センター
(実践の場) ・事例研究・開発
・教員スキル向上 ・学生の実践訓練
1.大学改革と人材育成に意欲のある大学と連携強化
2.人材育成に有効な教育カリキュラム、教材等の研究・蓄積
3.大学教員の実践力向上
4.他団体と連携して人材育
成の裾野拡大
5.リカレント教育の研究・場の
創成
国(各省庁、独法)、地方 自治体プロジェクト
海外機関 ・企業
研究機関
企業
日本経団連 高度情報通信人材 育成部会
産学連続化教育
国
(人材育成ハブ)
高度IT人材の育成について、産業界一線人材派遣、インターンシップ受け入れ等の産学官の連携を経団連/CeFILを軸にして取り組み。インターンシップの受け入れ基準の一つとして情報処理技術者試験/ITパスポート試験の活用を予定。 (※CeFIL=特定非営利活動法人高度情報通信人材育成支援センター。2009年に経団連有志企業の出資により設立。)
24
技術研究組合 制御システムセキュリティセンター (略称:CSSC)について
設立日 2012年3月6日(登録完了日)
理事長 新 誠一(国立大学法人電気通信大学 教授)
組合員 (50音順)
•全13組織(2012年11月27日現在) アズビル株式会社 (旧社名:株式会社山武)、NRIセキュアテクノロジーズ株式会社、オムロン株式会社、独立行政法人産業技術総合研究所、独立行政法人情報処理推進機構、株式会社東芝、株式会社トヨタIT開発センター、株式会社日立製作所、富士電機株式会社、三菱重工業株式会社、株式会社三菱総合研究所、森ビル株式会社、横河電機株式会社
所在地
■テストベッド構築予定地 〒985-0842 宮城県多賀城市桜木3-4-1 (みやぎ復興パーク内) ■東京事務所 〒135-0064 東京都江東区青海2-4-7 (独立行政法人産業技術総合研究所 臨海副都心センター別館8F)
CSSCの概要 CSSCの目的
重要インフラの制御システムのセキュリティを確保するため、研究開発、国際標準化活動、認証、人材育成、普及啓発、各システムのセキュリティ検証にいたるまで一貫して業務を遂行する。 ・制御システムにおける高セキュア化技術の研究開発 ・広域連携システムにおける高セキュアシステム技術の研究開発 ・システムセキュリティ検証技術の研究開発 ・国際連携 ・制御セキュリティテストベッドの研究開発
25
監視制御卓(イメージ)
Process Automationの模擬システム (イメージ) テストベッドの間取り(案)
コントロールラック (イメージ)
27
制御システムの安全性確保に向けた取組②
マルウェアの侵入防止や感染後の丌正な動作の防止を図ること
によるマルウェア対策技術、通信路での暗号化を図るための暗
号化技術、構造自体をセキュアにする技術などを開発する。
制御機器
制御機器が実環境と同等の環境で稼働することを保証し、制御機
器の接続性・脆弱性を検証し、それらの結果を視覚化する技術を
開発する。
高セキュア化技術の開発
制御機器
評価・認証手法の開発
インシデントを検知するために、ネットワーク上の振る舞いや
制御機器の異常を検知できる技術を開発する。
通信機器
インシデント分析技術の開発
制御システムにインシデントが発生した場合の対策に関する普
及啓発システムについての技術を開発する。
人材育成プログラムの開発
高セキュアデバイス 保護技術
制御システムへのマルウェア侵入対策技術
仮想環境における 高セキュア制御 システム構築技術
制御システムセキュリティ 人材育成のための模擬 システム構築技術
制御システムにおけるマルウェア 感染の影響および対策のための 人材育成プログラム構築技術
制御ネットワーク上の 異常振る舞い検知技術
仮想環境化における サーバや制御機器の 異常検知技術
制御機器間の 接続性検証技術
制御システムに おける脆弱性 検証技術
セキュリティ検証結果 の視覚化技術
実環境エミュレー ションソフトウェア 技術
制御システム向け 軽量暗号認証技術
28
受講者
普及啓発・人材育成委員会
本委員会での検討は、テストベッド構築に貢献することを一義とする。 (1)技術研究組合としての制御システムセキュリティの普及啓発・人材育成の方向 (2)普及啓発・人材育成のためのテストベッドの活用方法 (3)制御システムセキュリティの普及啓発・人材育成に向けた研究開発課題(例) ・制御システムオペレータ向け セキュリティアラートの開発 ・擬似体験型コンテンツの作成
1. 目的 技術研究組合制御システムセキュリティセンターにおいて、制御システムセキュリティに係わる普及啓発および人材育成の在り方を検討することを通して、関連の研究を推進する。
2. 検討内容
29
組合員
その他の制御システム業界
制御システムセキュリティ教育
産学教育 実践教育'対戦型等(
講師
教育コンテンツ
講師
テストベッド 'インフラ(
研究開発
制御システムセキュリティセンター設立記念シンポジウム
開催日時 2012年7月13日(金)15:00~17:30
会場 •日本科学未来館 7階「みらいCANホール」(東京都江東区青海2-3-6 )
参加対象 組合員 および一般の方
参加人数 約300名
後援 経済産業省
備考 米・国土安全保障省から、制御システム部門のDeputy Director Neil Hershfield (ニール・ハーシュフィールド)氏を招待して、基調講演を実施。
36
安全なウエブサイトの作り方を引用いただいている、具体的な仕様書例
LASDEC 「地方公共団体における情報システムセキュリティ要求仕様モデルプラン'Webアプリケーション(」https://www.lasdec.or.jp/cms/12,28
369,84.html '10月公表(
例えば、CSRFについても、モデルプラン「4.4」のところで個別具体的に触れられ、注意喚起と共に対策法の提示という点まで書き込まれている。
情報セキュリティ人材の現状
多くの企業において、情報セキュリティ対策の人材数若しくはスキル又はその双方が不足。
情報システムを利活用する企業実務等において、情報セキュリティに関する基礎知識は必須。
37
「情報セキュリティ人材育成プログラムを踏まえた2012年度以降の当面の課題等について」(平成24年5月31日、NISC)
教育の充実と共に、適切なスキル確認手法の導入も必要であり、教育プログラムや企業採用評価の際に「ITパスポート試験」等を活用することが考えられる。
● ITを最大限活用して、業務課題の把握と解決力を持つ人材
● 社会的な基礎知識を備えつつ、職業人として必須のIT力を 兼ね備える人材
● 情報セキュリティ等のITのリスクを理解し、安全に情報収集
と活用ができる人材
情報技術の基礎知識を問う国家試験
◆全ての職業人に必要な情報技術の基礎知識を問う国家試験 ◆幅広い分野'経営全般、IT管理、IT技術(の総合的知識を問う ◆「IT力」を合否判定だけでなく、分野別得点でも評価
の概要
ストラテジ系
'経営全般(
財務、法務、経営戦略など経営全般に関する基本的な考え方、特徴など
マネジメント系
'IT管理(
システム開発、プロジェクトマネジメントなどIT管理に関する基本的な考え方、特徴など
テクノロジ系
'IT技術(
ネットワーク、セキュリティ、データベースなどIT技術に関する基本的な考え方、特徴など
従業員のITリテラシーが向上することにより、以下のような効果が期待されます。
・ITの積極的活用による業務の改善・生産性向上
・セキュリティ、プライバシー、コンプライアンスに関する 知識保有によるリスク低減
(1)受験機会の提供
・随時実施 '全国140箇所の会場(
(2)学習計画が立てやすい
・学習目標に合わせて、受験日を選択
・短期間に再チャレンジも可能
(3)申し込みから受験、試験結果公表までの迅速化
・試験申し込みから受験までの期間を大幅に短縮
・受験後、速やかに成績を確認できる
<CBT試験会場イメージ>
ITパスポート試験とは・・・
ITパスポート試験活用のメリット
対象者像
出題範囲
CBT方式による実施
・人材育成の中で、ITパスポート試験の活用による 社員教育の効率化
38
の出題範囲(出題の考え方)
・ ネットワーク社会における安全な活動の観点から情報セキュリティの基本的な考え方を問う。
・ 情報資産とリスク管理の目的,情報セキュリティポリシの考え方を問う。
・ マルウェア'コンピュータウイルス,ボット,スパイウェアなど(や様々な攻撃手法'フィッシング,標的型攻撃など(への対策などの技術的セキュリティ対策の考え方,種類と特徴を問う。
・ 入退室管理やアクセス管理など,物理的・人的セキュリティ対策の考え方,種類と特徴を問う。
・ ID・パスワード,ディジタル署名,生体認証など,認証技術の種類と特徴を問う。
・ 共通鍵暗号方式,公開鍵暗号方式,公開鍵基盤'PKI(など,暗号化技術の仕組みと特徴を問う。
※情報処理技術者試験の出題範囲'改訂版(より
問2 迷惑メールを受信したときに避けるべき行動はどれか。 (平成23年度秋期試験 問59)
ア:電子メールの経路情報などから送信元プロバイダが 判明したときに、迷惑メールが送られてることを、 そのプロバイダに通報する。
イ:発信者に対して苦情を申し立てるために、迷惑 メールに返信する。
ウ:迷惑メールは開かずに削除する。 エ:メールソフトの迷惑メールフィルタを設定し、以後、
同一発信者からの電子メールを迷惑メールフォルダ に振り分ける。
問1 職場でのパスワードの取り扱いに関する記述a~dのうち、適切なものだけを全て挙げたものはどれか。 (平成23年度秋期試験 問81)
a 業務で使用するパスワードをプライベートでもWeb サービスに利用する。
b 個人用パスワードはシステム管理者にも教えない。 c パスワードは定期的に変更するだけでなく、第三者に
知られた可能性がある場合にも変更する。 d 付与された初期パスワードは、最初にログインした
ときに変更する。
ア:a,b,c イ:a,c ウ:b,c,d エ:c,d
セキュリティの過去問題例
答:問1 ウ 問2 イ 39
40
ITパスポート試験の受験者数及び企業での導入方法等
94,000
96,000
98,000
100,000
102,000
104,000
106,000
108,000
110,000
112,000
114,000
平成21年度 平成22年度 平成23年度
ITパスポート試験の受験者数 単位:人
100,444
112,355 110,497
23.0
24.0
25.0
26.0
27.0
28.0
29.0
30.0
31.0
32.0
IT企業における導入方法 単位:%
N = 549 ※複数回答あり
順位
1位 ITパスポート 62.7%
2位 基本情報技術者 46.7%
3位 ITストラ テジスト 14.7%
4位 応用情報技術者 10.7%
5位 情報セキュリティスペシャリスト 8.0%
'出典:日経コンピュータ2011年12月8日号 P40(
ITベンダの人事担当者が、自社の営業担当者に
「取得させたい」資格
'出典:情報処理推進機構'IPA(「IT人材白書2012」(
'出典:情報処理推進機構'IPA(ホームページ(
28.6
31.1
26.0
29.9
活用事例
【ITパスポート試験の問い合わせ先】
情報処理推進機構(IPA)
情報処理技術者試験センター
IT企業'情報機器販売業(として、社員全員のITスキルを向上させることを目的に、新たな社内資格認定制度をスタートさせる機会に合わせ、国家試験であるITパスポート試験を認定資格の1つとして採用。全社員に対して受験を推奨するとともに、合格支援策として、通信教育講座の受講料支援や合格者に対する受験料の補助を実施している。営業やサービス現場でお客様と積極的なコミュニケーションを図り、ITの利便性を生かしたサービスの提供を目指している。
京セラミタジャパン株式会社
スタッフ部門と、情報システム部門等、現場とのコミュニケーションの円滑化を図るため、スタッフ部門を対象にITパスポート試験を推奨し効果を実感。また、採用活動ではエントリーシートにITパスポート試験の得点を記載項目に設置。
株式会社日立ソリューションズ
大塚商会
全社的にITパスポート試験を推奨。合格支援策として、試験対策講座の提供、合格者に対する受験料の会社負担、報奨金支給を実施。新入社員の採用時においては、合格者についてはプラスに評価している。また、新入社員教育の面でも、ITの知識はもとより、企業経営全般に関する基礎知識を確認するために試験を活用。
金融庁
平成21年度から、新入職員全員及び職員の希望者を対象に「IT基礎知識研修」という研修科目を創設。 受講者にITパスポート試験の受験を推奨。
楽天証券
全社員を対象にITパスポート試験の受験を推奨。受験対象者に対し、試験対策講座や社内模試、学習教材の提供などの合格支援策に加え、受験料の会社負担(初回受験のみ)や合格祝金支給を実施。
産業界、官界等において、エントリーシートへの記載など人事部門で活用
海上自衛隊
情報システム装備増大に伴い、幹部候補生にITパスポート試験に準拠した授業を実施するとともに、修了試験としてITパスポート試験を受験させ、成績に反映。 TEL:03-5220-6736
FAX:03-3216-7553
https://www3.jitec.ipa.go.jp/JitesCbt/index.html
ITパスポート試験HPより
' https://www3.jitec.ipa.go.jp/JitesCbt/index.html (
41
42
IPA(独立行政法人情報処理推進機)において、セキュリティ対策の参考となる教材を作成。 各地域において、商工団体等を通じた普及啓発の推進等。
IPAホームページ
http://www.ipa.go.jp/security/index.html
