Comments
Transcript
サイバーセキュリティと経済 研究会 報告書 中間とりまとめ 2011 年 8 月
サイバーセキュリティと経済 研究会 報告書 中間とりまとめ 自律的で弾力的かつ頑強な情報セキュリティを実現する政策 2011 年 8 月 5 日 経済産業省 目次 第1章 情報セキュリティ政策を取り巻く環境の変化と現状認識 ................... 9 1. サイバー攻撃の質的変化 ~標的型サイバー攻撃の増加~ ................... 10 (1) 標的型サイバー攻撃とは............................................. 10 (2) 標的型サイバー攻撃の増加 ........................................... 12 (3) 標的型サイバー攻撃の事例 ........................................... 13 2. 制御システムに対する脅威............................................... 14 (1) 制御システムについて............................................... 14 (2) 制御システムに対するインシデントの増加 ............................. 18 (3) 制御システムにおける情報セキュリティ事故の事例 ..................... 18 (4) 制御システムの海外輸出におけるセキュリティ評価 ..................... 20 3. 情報セキュリティ人材の育成............................................. 20 (1) 情報セキュリティ人材を取り巻く環境 ................................. 21 (2) 人材育成に関する政府の取組の必要性 ................................. 21 4. 政府機関を狙ったサイバー攻撃........................................... 22 (1) 現状 .............................................................. 22 (2) 政策対応等の動向................................................... 23 5. 組織内部からの情報漏えい............................................... 23 (1) 企業関係........................................................... 23 (2) 政府機関関係....................................................... 24 ① 我が国政府機関における情報漏えい ..................................... 24 ② ウィキリークスによる米国等政府機関における情報漏えい ................. 25 (3) 政策対応の動向..................................................... 25 ① 企業関係 ............................................................ 25 ② 政府機関関係......................................................... 26 6. 世界の情報セキュリティ政策............................................. 26 (1) 主要国の情報セキュリティ政策の動向 ................................. 26 ① 米国における取組..................................................... 26 ② 英国における取組..................................................... 27 ③ G8 としての取組 ...................................................... 28 (2) 標的型サイバー攻撃対応や制御システムの安全性確保策への各国の対応 ... 28 ① 標的型サイバー攻撃への対応........................................... 28 ② 制御システムの安全性確保策........................................... 29 第2章 新しい3つの政策.................................................... 30 1. 標的型サイバー攻撃への対応............................................. 30 (1) 標的型サイバー攻撃への対応が困難な理由 ............................. 30 1 ① ソーシャル・エンジニアリングの利用 ................................... 30 ② 公知でない不正プログラムや不正命令の利用 ............................. 31 ③ ぜい弱性の利用....................................................... 32 (2) 研究会における議論................................................. 32 ① 標的型サイバー攻撃の特徴の整理 ....................................... 32 ② 標的型サイバー攻撃の対象となるソフトウェア ........................... 33 ③ 標的型サイバー攻撃における攻撃手法の「使い回し」 ..................... 33 ④ 標的型サイバー攻撃への対応の整理 ..................................... 33 (3) 政策の方向性....................................................... 34 ① 個々のユーザにおける防止・軽減対策 ................................... 34 ② ユーザと情報セキュリティ企業の連携による防止対策 ..................... 38 2. 制御システムの安全性確保............................................... 45 (1) 制御システムにおいて、情報セキュリティ対策が困難な理由等 ........... 45 (2) 制御システムのセキュリティを確保するための、国内及び海外における対応状 況 ....................................................................... 45 ① 国内の対応状況....................................................... 45 ② 海外の対応状況~海外市場における安全性評価・認証に関する要求の高まりと今 後のセキュリティ評価・認証~............................................ 47 (3) 研究会における議論と政策の方向性 ................................... 49 ① 未然防止対策......................................................... 51 ② 事後対策 ............................................................ 53 ③ 共通対策 ............................................................ 54 (4) 実務の検討......................................................... 54 (5) 想定外の自然災害とサイバー攻撃に対して ............................. 56 3. 情報セキュリティ人材の育成............................................. 57 (1) 経営型情報セキュリティ人材の必要性 ................................. 57 (2) 情報セキュリティ人材の育成 ......................................... 58 ① 情報セキュリティ人材を取り巻く環境 ................................... 58 ② セキュリティに関する実践教育 ......................................... 61 4. 1~3の実現に向けた工程表............................................. 64 第3章 研究会で指摘された他の政策分野について(第2章以外) ................ 65 1. サイバー攻撃対応における連携........................................... 65 2. クラウドに対応した情報セキュリティ対策(監査を含む) ................... 65 3. 情報セキュリティガバナンス............................................. 67 (1) 情報セキュリティガバナンスの推進 ................................... 67 (2) 情報セキュリティガバナンスの国際標準化の推進 ....................... 68 2 4. サプライチェーンセキュリティ........................................... 68 5. 製品のセキュリティ(組み込み機器を含む) ............................... 69 6. 暗号アルゴリズムのセキュリティ ......................................... 69 第4章 情報セキュリティ政策の今後の展望 .................................... 71 1. 東日本大震災を踏まえた情報セキュリティ政策 ............................. 72 2. コア技術の開発及びコア技術を開発できる人材の育成 ....................... 73 参考資料 ..................................................................... 74 1.これまでの情報セキュリティ政策.......................................... 74 2.標的型サイバー攻撃への対応.............................................. 75 3.制御システムの安全性確保................................................ 83 4.情報セキュリティ人材の育成.............................................. 94 5.その他 ................................................................ 109 3 はじめに 最近の情報セキュリティを取り巻く環境は、情報技術とその利用形態の劇的 な変化、リスクの顕在化する原因の変化などを背景に大きく変化している。 例えば、クラウド・コンピューティング(以下「クラウド」という。)、スマ ート・フォン、各種制御システムの統合管理の進展、グローバルなサプライチ ェーン管理の進展等である。今後、スマートグリッドの進展などの「モノのイ ンターネット(IOT:Internet of Things)化」が更に進むものと考えられる。 このような情報技術とその利用形態の進展の中で、ある価値を生成、提供、保 護等を(場合によっては国境を越えて)行う際に、保護する対象が、情報シス テムやネットワークの上で作成、流通、蓄積等される情報資産だけでなく、各 場面で使用される個々の機器や、産業システムといった物的な経済資産も対象 になっている。 また、リスクの顕在化する原因の変化にも注意を払う必要がある。上記の資 産を保有・保護する側、逆に、それらに攻撃を仕掛けようとする側、それぞれ において、近年、社会的に大きな衝撃を与えた注目すべき事象が発生している。 前者は、ウィキリークスによる米国外交公電情報の漏えい、尖閣映像漏えい、 外事テロ情報漏えいであり、後者は、2010 年初にグーグルが公式ブログで公表 したグローバル企業へのサイバー攻撃、昨年夏から秋に発生したエネルギー関 連施設等の制御システムへのサイバー攻撃などである。とりわけ、攻撃側は、 特定の目的を持って情報又は制御システムに対して、これまで以上に高度な攻 撃を仕掛ける傾向が顕著になってきている。 このように情報セキュリティを取り巻く環境が大きく変化している中で、こ のような変化に対応した情報セキュリティ対策を講じていかなければ、国民生 活や経済活動を支える IT 利用が信頼できないものとなり、ひいては IT による 経済成長の実現もおぼつかなくなる。 このような課題認識の下、昨年 12 月、経済産業省は、多くの有識者、関係者 から構成される「サイバーセキュリティと経済 研究会」を立ち上げ、上記のよ うな状況変化に対応できる情報セキュリティ政策を模索するべく、政策の方向 性を審議してきた。とりわけ、特定の組織から情報等を詐取等して被害を与え ることを目的とした標的型サイバー攻撃、制御システムへのサイバー攻撃は、 これまでの情報セキュリティ対策としては想定されていなかった脅威であるこ とから、重点的に審議を行った。 本報告書は、上記研究会において多くの専門家により、上記の脅威やその顕 在化の可能性等の認識を共有し、その上で、政府が取るべき政策の方向性を含 む我が国がとるべき対策を、取りまとめたものである。本報告書の構成は、次 4 のとおりである。第1章では、情報セキュリティ政策を取り巻く環境の変化と 現状認識について説明する。第2章では、最近の脅威の動向を踏まえた、新た な3つの政策について提示するとともに方策実現に向けたロードマップを示す。 第3章では、当該3つの政策以外に研究会で指摘のあった政策分野に関する対 応の現状について説明する。第4章では、情報セキュリティ政策の今後の展望 について説明する。 情報セキュリティは、対策の必要性の気付きと、その対策の確実な実践が重 要である。したがって、この報告書にまとめられた対策は、官と民の役割を明 確にした上で、綿密な計画、リソースの基で着実に実践されなければ意味をな さない。政府においては、本報告書で述べる政府がなすべきことについて、そ の可能な限りの実現を期待したい。民間の IT ユーザ企業、特に経営幹部も、自 らの責任として必要な対策を実施する。このことで、日本全体の IT 環境が、内 外の新しい情報セキュリティ上のリスクに対する耐性を高め、これにより、我 が国及びグローバルな経済の成長の基盤を強固にすることを企図するものであ る。 2 0 1 1 年 8 月 5 日 サイバーセキュリティと経済 研究会 委 員 長 村 井 純 5 サイバーセキュリティと経済 研究会 委 員 長 村井 委員長代理 山口 委 員 有村 鵜飼 純 英 浩一 裕司 内田 仁史 江崎 遠藤 小林 小屋 塩崎 浩 直樹 和真 晋吾 哲夫 新 神保 高倉 誠一 謙 弘喜 高橋 高橋 郁夫 正和 中尾 康二 西本 藤井 逸郎 俊郎 松本 勉 織茂 昌之 下村 正洋 武智 洋 中野 名和 利彦 利男 委員名簿 慶應義塾大学環境情報学部 教授 奈良先端科学技術大学院大学情報科学研究科 教授 テレコム・アイザック・ジャパン 企画調整部長 株式会社フォティーンフォティ技術研究所 代表取締役社長 株式会社セールスフォースドットコム シニアプリンシパルアーキテクト 東京大学大学院情報理工学系研究科 教授 東芝ソリューション株式会社 技術統括部 技監 倉敷芸術科学大学大学院産業科学技術研究科 教授 トレンドマイクロ株式会社 統合政策担当部長 富士通株式会社 クラウドCERT室長 兼)クラウドセキュリティ事業部長 電気通信大学大学院情報理工学研究科 教授 慶應義塾大学総合政策学部 准教授 名古屋大学情報基盤センター 情報基盤ネットワーク研究部門 教授 株式会社ITリサーチ・アート 弁護士 マイクロソフト株式会社 チーフセキュリティアドバイザー KDDI株式会社 運用統括本部 情報セキュリティフェロー 株式会社ラック 最高技術責任者 パナソニック株式会社 生産革新本部 法務グループ グループマネジャー 横浜国立大学大学院環境情報研究院 教授 特 別 委 員 株式会社日立製作所セキュリティ・トレーサビリテ ィ事業部 センター長 特定非営利活動法人日本ネットワークセキュリティ 協会 事務局長 日本セキュリティオペレーション事業者協議会 代表 株式会社日立製作所システム技術開発部 部長 株式会社サイバーディフェンス研究所 上席分析官 6 オブザーバー 高田 四方 中野 坂下 矢島 充人 光 正康 圭一 秀浩 内閣官房情報セキュリティセンター 参事官 警察庁生活安全局情報技術犯罪対策課長 総務省情報流通行政局情報セキュリティ対策室長 防衛省運用企画局情報通信・研究課情報保証室長 独立行政法人情報処理推進機構 セキュリティセンター長 渡辺 創 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 副研究センター長 早貸 淳子 一般社団法人JPCERTコーディネーションセン ター 常務理事 事務局 石黒 富田 渡辺 赤石 多田 東條 憲彦 健介 信一 浩一 明弘 吉朗 経済産業省商務情報政策局長 経済産業省大臣官房審議官(商務情報政策局担当) 経済産業省大臣官房審議官(IT戦略担当) 経済産業省商務情報政策局情報政策課長(~第2回) 経済産業省商務情報政策局情報政策課長(第3回~) 経済産業省商務情報政策局情報処理振興課長 (~第3回) 高橋 淳 経済産業省商務情報政策局情報処理振興課長 (第4回~) 牧内 山崎 勝哉 琢也 経済産業省大臣官房情報システム厚生課長(第2回~) 経済産業省商務情報政策局情報政策課 課長補佐 (~第4回) 河野 太志 経済産業省商務情報政策局情報政策課 課長補佐 (第5回) 山田 安秀 乃田 昌幸 佐藤 明男 林 弘毅 経済産業省商務情報政策局情報セキュリティ政策室 長 経済産業省商務情報政策局情報セキュリティ政策室 課長補佐 経済産業省商務情報政策局情報セキュリティ政策室 課長補佐 経済産業省商務情報政策局情報セキュリティ政策室 課長補佐 7 「中間とりまとめ」までの検討経緯 第1回 日時:2010 年 12 月 20 日(月)13:30~15:00 場所:経済産業省 国際会議室(本館 17 階 西 3) 議題:(1)サイバーセキュリティに関する今後の政策課題 (2)その他 第2回 日時:2011 年 1 月 28 日(金)10:00~12:00 場所:経済産業省 国際会議室(本館 17 階 西 3) 議題:(1)標的型サイバー攻撃への対応について (2)制御システムの安全性確保策について 第3回 日時:2011 年 3 月 3 日(木)14:30~16:30 場所:経済産業省 国際会議室(本館 17 階 西 3) 議題:(1)情報セキュリティ人材の育成について (2)その他 第4回 日時:2011 年 4 月 21 日(木)13:30~15:00 場所:経済産業省 第1特別会議室(本館 17 階 西 7) 議題:制御系システムの安全性確保策について 第5回 日時:2011 年 5 月 27 日(金)10:00~12:00 場所:経済産業省 第1特別会議室(本館 17 階 西 7) 議題:(1)標的型サイバー攻撃への対応について (2)情報セキュリティ人材の育成等について (3)その他 第6回 日時:2011 年 7 月 1 日(金)16:00~17:30 場所:経済産業省 国際会議室(本館 17 階 西 3) 議題:中間取りまとめ(案)について 8 第1章 情報セキュリティ政策を取り巻く環境の変化と現状認識 コンピュータウイルスを用いたサイバー攻撃や組織内部からの情報漏えいは 従来からあったものの、近年、サイバー攻撃による知的財産やライフラインを 狙った事案の発生や、政府機関に対するサイバー攻撃の発生、意図的な情報漏 えいの増加など、脅威の深刻さが増している(図表1-1参照)。 2010.1 Google等に 対する 標的型 サイバー攻撃 2010.9 我が国 政府機関に 対する サイバー攻撃 2010.9 スタックスネット によるイランの 核施設への サイバー攻撃 図表1-1 2010.10 2010.11 尖閣諸島沖 中国漁船 衝突映像 流出 警視庁 国際テロ 情報流出 2010.11 2011.3 2011.4 ウィキリークス による米国 外交公電等 の暴露 東日本大震災 による サプライチェーン ライフライン への損壊 ソニーに対する サイバー攻撃 により大規模な 個人情報漏えい 近年の大きな情報セキュリティ関連事象 こうしたセキュリティ関連事象は以下のように分類される。 ➢サイバー攻撃の質的変化~標的型サイバー攻撃の増加~ 2010.1 Google 等に対する標的型サイバー攻撃 2011.4 ソニーに対するサイバー攻撃により大規模な個人情報漏えい ➢制御システムに対する脅威 2010.9 スタックスネットによるイランの核施設へのサイバー攻撃 2011.3 東日本大震災によるサプライチェーン・ライフラインの損壊 ➢政府機関を狙ったサイバー攻撃 2010.9 我が国政府機関に対するサイバー攻撃 ➢組織内部からの情報漏えい 2010.10 警視庁国際テロ情報流出 2010.11 尖閣諸島沖中国漁船衝突映像流出 2011.11 ウィキリークスによる米国外交公電等の暴露 上記のような情報セキュリティ関連事象の発生の態様等を分析するとともに、 そのような事象に対応するためのこれまでの対策や、それを支える代表的リソ ースである情報セキュリティ人材や海外において実施されている政策等を概観 することにより、我が国がとるべき政策を明らかにしていく。 9 1.サイバー攻撃の質的変化 ~標的型サイバー攻撃の増加~ (1)標的型サイバー攻撃とは これまでの不正プログラムを利用した攻撃は、自己の技術力を誇示したり、 世間が混乱するのを楽しんだり、大量の個人ユーザを支配下に置くことを目的 に、特定の種類の不正プログラムを不特定多数のユーザに対して大量に配布す る方法で行われることが多かった。 それに対し、特定の組織・個人から営業秘密といった企業に関わる重要な情 報を搾取することを主たる目的とした標的型サイバー攻撃1が行われるように なっていることが、海外では 2005 年頃から、国内では 2007 年頃からセキュリ ティの専門家の間で具体的に認識され始めた。 このような標的型サイバー攻撃を行う際、対象の組織等に気付かれないよう に侵入したり、侵入後情報の搾取に至るまでの挙動も気付かれないようにした りしながら実行しようとすることが、悪意を持って攻撃する者の心理であろう。 このため、標的型サイバー攻撃には以下のような特徴がある。 標的型サイバー攻撃の特徴 A) 攻撃の成功率を高めるため、その組織・人を信じ込ませるようにその組織と 業務上関係のある組織・人、あるいは公的機関を装ってメールを送信するな ど(ソーシャル・エンジニアリング)して、そのメールの添付ファイルに情 報を窃取等するプログラムを密かに埋め込むなどの手法を使うことが多い2。 B) 攻撃者がソーシャル・エンジニアリングによらずに、攻撃対象の組織・人の 使用する IT システム中のセキュリティ上の弱点(ぜい弱性3)を直接突くこ とにより、密かに内部システムに侵入することもある。 C) 攻撃者は、攻撃対象に気付かれないよう、内部を物色して機密情報が格納さ れているサーバの特定や当該サーバの管理者権限の奪取を試行する。 D) 攻撃者は、C)が成功し、情報窃取に成功した後、対象の組織等が攻撃に気付 かないよう、攻撃の痕跡、すなわちログ等を消去する。 このような標的型サイバー攻撃は APT(advanced persistent threat)とも呼ばれることが ある。米国国立標準技術研究所(NIST)はこのような攻撃を実施する主体を以下のように 定義。 「情報窃取や組織の重要な局面に関する弱体化又は妨害、あるいは将来においてこれ らの目的を実現するための準備行為を目的として、標的とした組織の IT インフラ中に足場 を構築し利用し続けることを目的に、複合的な攻撃手法を用いることにより、目的達成の 機会を作出することができる、高度な専門的知識と莫大なリソースを有する攻撃主体 (NIST SP800-39 “Managing Information Security Risk: Organization, Mission, and Information System View”【Appendix B GLOSSAR Y】) 」 2海外では、A)のような詐欺的なメールの送信行為を「スピア・フィッシング」又は「タ ーゲッテッド・フィッシング」と呼ぶことがある。我が国では、これを一般に「不審メー ル」と呼んでいる。 3 コンピュータソフトウェアのセキュリティホール。 1 10 A 標的型サイバー攻撃の流れ 2010年11月のMETI への攻撃の例 I.メール添付型 数人に メール ダウンロー ダ添付 攻撃者 X社 予めダウン ローダ挿入 C ユーザ自身が不正プログラ ムを取り入れるため、ファイ アウォール等では防止できな い。また、未知の不正プログ ラムが利用されるため、アン チウィルスソフトで防止でき ない場合がほとんど。 PDF 不審メール B ダウンローダ 添付メールとは 思わず開封 データベース サーバ 誘導 ダウンロー ダ感染 端末PCでダウン ローダを起動し、外 部サーバからバック サーバ ドアをダウンロード データベースへ のアクセス権限 を不正に取得 X社社員 機密情報摂取 III.可搬メディア利用型 X社社員 X社をダウンローダに 感染させるべく、Y社 にダウンローダを潜 入させる 不正プログラ ムとは思わ ずに実行 ダウンロー ダ挿入 Y社 攻撃者 (X社の顧客) 被害が 初動 発覚 対処 X社 社員 外部 に閲覧するサイ トを改ざん II.不正サイト誘導型 機密情報 の窃取 外部に継続的 に情報送信 バックドア 感染 攻撃者 X社社員が頻繁 不審メール 遠隔操作でバックド アから内部を自由 に物色。アクセス管 理者権限を入手 感染後も 気付かず ダウンローダ に感染する と気付かず に閲覧 D X社にダウン ローダをCDR等で提供 してしまう ウェブ サーバ アプリケーション サーバ データベース サーバ IV.直接侵入型 攻撃者 なりすまし手口を使 用せず、A社のウェブ サーバのぜい弱性を 利用して直接侵入 これらが正規のメール等であると思わせるなり すまし手口(ソーシャルエンジニアリング)を使用 図表1-2 標的型サイバー攻撃の典型的な流れ 11 (2)標的型サイバー攻撃の増加 標的型と思われるサイバー攻撃を受 けた経験があるか(2007年) 標的型と思われるサイバー攻撃を受 けた経験があるか (2011年) スピアフィッシング 個人を対象としたフィッシング 関係者を装った社員宛のウィルスメール ある ない 分からない 「DoSをしかける」という脅迫メール 2.50% 経験なし 5.40% 0.80% 22% 33% 91.30% N=282 図表 1-3 出典:経済産業省調査(2007 年) 45% 図表 1-4 出典:経済産業省調査(2011 年) 我が国における標的型サイバー攻撃は以上の図表 1-3、図表 1-4から も分かるとおり、大幅に増加している。 12 N=46 (3)標的型サイバー攻撃の事例 標的型サイバー攻撃の詳細に関しては、経済産業省による実態調査、被害企 業の公表、及び報道に基づく我が国及び米国における主な攻撃・被害事例を図 表1-5に掲げる。 年 国名 日本 パタ ーン I 騙られた 送信者等 官公庁 2008 2008 日本 I 公的団体 2009 日本 I 独立行政 法人 2010 米国 I 不明 2010 日本 I 民間企業 2010 日本 III 顧客 2010 日本 II - 2010 日本 I 職員 2010 日本 I 職員 特徴 官公庁を詐称したメールを受理。添付ファイル(圧縮ファイ ル)の中身はプログラム実行ファイルだが、実行すると表面 上は文書ファイルが動いていると見せかけてその陰でバッ クドアが実行される。 公的団体を詐称した日本語の不審なメールが届いた。社員が 添付ファイル(圧縮ファイル)内のプログラム実行ファイル を開くと、ファイルをダウンロードし、特定の外国の不正サ イトに接続する。 独立行政法人を騙った不審なメール(セキュリティに関する 注意喚起)が届いた。添付された文書ファイルはクリックさ れず、感染前に対処した。 複数の IT 企業、IT 機器メーカ、軍事企業等を対象に、非常 に高度な攻撃。攻撃は数ヶ月にわたって行われ、重要な知的 財産を狙った攻撃もあったとの報道。 自組織のドメインに存在しないメールアドレスを詐称し、圧 縮ファイルが添付された不審なメール(不正プログラム混入 の有無の確認を求めるメール)が社内の複数のアドレスに届 いた。圧縮ファイルを実行すると、表面上は文書ファイルが 開くものの、陰で正規のプログラムが置き換えられたことが 判明。 事業者が顔見知りの顧客から手交された CD-R を顧客の要 望に応えて確認したところ、不正プログラムに感染。その後、 バックドアがダウンロードされ、管理者権限を取得。これに より、機密情報を格納したサーバへのアクセスを許し、情報 が漏えいした。 社員が頻繁に閲覧するウェブサイトが改ざんされ、当該サイ トの閲覧によりダウンローダに感染。その後バックドアがダ ウンロードされ、管理者権限を取得。その後、管理者権限を 用いてシステムを把握し、内部情報を外部のサーバに送付さ れていたことが判明。 社内の上司を騙ったメールが数人に送付され、添付されてい た文書ファイルの開封によりダウンローダに感染。その後、 バックドアをダウンロードし、最終的に管理者権限を取得さ れ、営業秘密が漏えいした。 官公庁職員を装い、不正プログラムを添付したメールが大量 の職員に送付された。数十人の職員が開封したが、情報流出 等の被害は起きなかった。圧縮ファイル中のプログラム実行 ファイルを開くと外国のサーバと通信。 13 2011 米国 IV - 図表1-5 なりすまし手口を使用することなく、攻撃先企業のウェブサ ーバのぜい弱性を利用してウェブサーバに侵入。その上でア プリケーションサーバ及びデータベースサーバに侵入し、情 報を搾取。 我が国及び米国における主な攻撃・被害事例 (注1)上記の例以外に多数の標的型サイバー攻撃の事例が把握されている。 また、F-secure 社によれば、欧州においては、金融機関に対する不正プログ ラムが添付されていた標的型攻撃メールの事例が 2008 年及び 2009 年に、そ れぞれ約 2000 件報告されている。 (注2)パターンは図表1-2による。 2.制御システム4に対する脅威 (1)制御システムについて 電力・ガス等の重要インフラを含む産業用の制御システムは、制御系情報ネ ットワークと制御ネットワークに分けられる。制御系情報ネットワークは、主 として製造装置の監視と制御を行い、製造管理を担う。制御系情報ネットワー クはオフィスネットワーク(情報系システム)とファイアウォール等により論 理的には分断されているが物理的には接続されている。制御ネットワークは、 PLC、シーケンサ等を利用して各種製造装置を制御しており、制御系情報ネッ トワークとは、各種のサーバを介して接続されている。一般的な制御システム のシステム構成例と制御システムの分類を以下に示す。 4 「制御システム」とは、バルブ制御機器、アクチュエータやPLC(プログラマブル・ロ ジック・コントローラ)などのフィールド機器、基本的な制御、監視・計測に用いるサー バやクライアントPCなどをネットワークにより接続した機器群(システム)をさす。 14 典型的なシステム構成例 制御システムの分類 (例) ・工作機械、半 導体製造装置、 各種産業機械 等 各種 製造装置 (例) ・生産ライン制御 システム ・石油化学プラント 等 プラント設 備 (例) ・電力、ガスシステ ムの監視制御 ・ダムや水供給の 監視制御 等 インフラ 制御装置 コントロール のため指示 制御システム OS、プログラム等 図表 1-6 制御システムの典型的なシステム構成例と制御システムの分類 出典:経済産業省調査(2008 年度) 15 制御システムは、常時ネットワークにつながっていないことから、サイバー 攻撃の影響を受けづらいと言われてきた。また、制御システムの仕様は事業者 ごとに固有であるため、内部仕様を熟知していなければ、有効な攻撃はできな いため、一般的な PC が感染するウイルスや不正プログラムの影響を受けない と考えられてきた。 しかしながら、経済産業省が 2008 年度に行った調査によれば、プラント設 備や各種製造装置は外部ネットワークとつながってきており、かつ、これらに 使用されるOSには共通の Windows や Unix 系が利用されており(図表 1-7、 図表 1-8、図表 1-9参照) 、制御システムに対するサイバー攻撃の脅威 が現実化してきた。電力やガス等の社会インフラは、制御システムを組み込ん で構成されているため、制御システムを攻撃されると社会インフラが影響を受 け、社会全体が影響を受ける可能性がある。 このうちインターネット接続が 43%、 N=234 リモートメンテナンス回線接続が 55% 図表 1-7 プラント設備での外部ネットワークとの接続 出典:経済産業省調査(2008 年度) 16 0.0 N=234 Windows系 Unix系 TRON系(T-Engine含む) VX-Works iRMX LinxOS OS-9 QNX Smalight OS eCos その他 無回答 20.0 40.0 60.0 80.0 100.0 88.9 13.7 0.4 0.9 0.0 3.0 1.3 0.0 0.0 0.0 4.7 8.5 図表 1-8 プラント設備でのOSの利用状況(端末) 出典:経済産業省調査(2008 年度) 図表 1-9 各種製造装置における汎用性のある IT 技術の利用 及び外部ネットワークとの接続 出典:経済産業省調査(2008 年度) 17 (2)制御システムに対するインシデントの増加 カナダの非営利法人 Security Incidents Organization によって運営されて いるインシデント情報データベース(RISI)によると、世界全体の SCADA を始 めとする制御システムにおけるインシデントは年々増加傾向にあり、制御シス テムに対してもセキュリティ面における脅威が拡大してきている。 図表 1-10 世界全体の制御システムのインシデント推移 出典:Repository of Industrial Security Incidents 報告書(2009 年) (3)制御システムにおける情報セキュリティ事故の事例 海外ではサービス提供事業者のシステムのオープン化が進んでいるため、外 部からの攻撃可能性が高く、SCADA システムへのぜい弱性についても報告があ ることから、制御システムにおける情報セキュリティ事故の事例が見られる。 18 番 年 号 ウィルス ポイント 名 概要 ① 2003 Slammer 原子力発電所 年 ワーム の制御システム へのワーム侵 入 米国の原子力発電所で、マイクロソフトSQLサーバを狙ったウィルスがVPN接続を介し て侵入・感染。制御システムを約5 時間にわたって停止させた。他の電力施設を結ぶ通 信トラフィックも混乱し、通信の遅延や遮断に追い込まれた。 発電所のサーバはファイアウォールで外部ネットワークと遮断されていたが、ファイア ウォール内部のネットワークに接続した、発電所のコンサルタント会社の端末が感染源と なった。 ② 2003 W32/Bla 鉄道の信号管 年 sterワーム 理システムのウ イルス感染によ る運行停止 米国東部の鉄道会社の信号管理システムがコンピュータウイルスに感染し、周辺の3 路線で朝から昼にかけて通勤および貨物列車が停止、ダイヤ乱れが発生。ウイルスに よって、信号や配車のシステムなどの重要システムをつなぐネットワーク部分が、断絶し たことが原因と判明。 ③ 2005 Zotobワー ウィルスによる 米国大手輸送関連会社の米国にある複数の自動車工場において、ウィルスが制御シス 年 ム 自動車工場の テム内に入り込み、プラント中に広がり、操業停止となる事故が発生。Windows2000 操業停止 システムにパッチをあてることで生産を再開したが、部品サプライヤへの感染も疑われ 部品供給の懸念も生じ、およそ1,400 万ドルの損害をもたらした。 ④ 2010 Stuxnet システムの停止 石油や天然ガスなどのパイプラインやウラン濃縮施設などで使用されている制御システ 年 又は暴走・破壊 ムソフトウェアが乗っ取られたり、制御データが搾取される可能性があったことが判明。U SB等の外部記録媒体を経由して、オフィスPCにウイルス感染させ、遠隔監視ソフトウェ アの脆弱性を悪用し、PLCに悪質なコードを書き込み、制御システム上の装置に対して 攻撃を実行した。イランのウラン濃縮施設では、約8,400台の遠心分離機全てが停止。 図表 1-11 制御システムにおける情報セキュリティ事故の被害例(海外) 出典:独立行政法人情報処理推進機構(以下「IPA」という。) 「重要インフラの制御システムセキュリティと IT サービス継続に関する調査」 及び報道を元に作成 日本においては、制御システムの情報セキュリティ上の実害は報道等で明る みに出ていないが、経済産業省調査等により、以下のような事例等が把握され た。 19 ・ニムダに感染して工場のシステムが停止してしまったのを端緒に、制御 システムと他のシステムの間を介するゲートウェイシステムの開発を始め た。 ・ウイルス感染が発覚。設備系・生産系 PC50 台が感染、レスポンスが低下。 原因は端末増設の際にメーカがウイルスを持ち込んだこと。 ・メンテナンス用の PC による感染及び被害があった。設備系システムの PC100 台程度が感染、システムの稼働が止まった。 ・半導体製造工場では、ウイルス被害にあった工場が増えている。 ・ハードディスクがウイルス感染してシステムが立ち上がらなくなった。 ・制御システムにおけるセキュリティ関連のトラブルは生産に影響しなけ れば無視されて放置される。 図表 1-11 制御システムにおける情報セキュリティ事故の被害例(国内) 出典:経済産業省調査(2008 年度)等 (4)制御システムの海外輸出におけるセキュリティ評価 スタックスネットによるイランの核施設へのサイバー攻撃は、汎用製品 (Windows や Linux)や標準プロトコル(TCP/IP 等)の利用によるオープン化 が進んできた制御システムに対する脅威の事例であり、米国や欧州への制御機 器納入に際し、セキュリティについて一定の証明、検査結果の提示が必要とな る場合が報告され始めるなど、海外の輸出に関してもセキュリティが重要視さ れてきている。我が国において、制御システムに関するセキュリティ評価の仕 組みが存在しない中、民間企業が海外市場への輸出等をする際に、セキュリテ ィ評価が求められることもある。 3.情報セキュリティ人材の育成 上述の情報セキュリティ関連事象に対策を講じていくためには、それを支え る代表的リソースである情報セキュリティ人材5が必要となることから、我が国 における情報セキュリティ人材を取り巻く環境を提示するとともに、政府によ る取組の必要性について説明する。 5 たとえば、以下のような業務等を行う人材のことである。 ①情報セキュリティのリスクマネジメント、②ユーザの了解を得た上で外部からシステム へのアクセス試行、③暗号・ログ等の解析、④製品・システムの評価、⑤攻撃者・ユーザ の行動の分析 20 (1)情報セキュリティ人材を取り巻く環境 企業が IT 人材に求める能力は多岐にわたるが、その中でも「セキュリティ に関する技術力」の優先順位は高くなっている。他方、様々な分野に関する「分 野を横断する幅広い技術力」が求められていることも特筆すべきである(図表 1-12参照)。経済産業省によるヒアリングにおいても、情報セキュリティ 関連企業からは情報セキュリティ専門企業であっても、不正プログラムの分析 といった専門的な能力を生かした業務を実施しているのは、従業員の数%にし かすぎず、専門的な能力を有する人材への需要はさほど大きくないとの意見も 示された。 図表 1-12 今後自社の IT 人材にとって重要となるスキル 出典:IPA 「IT 人材白書 2011」 上記のように、情報セキュリティを担う人材として、IT 全般に関する能力 をバランスよく有している人材が主に求められているところであるが、その一 方で、経済産業省によるヒアリングにおいては、情報セキュリティ専門企業に おいては専門的な人材に対する需要も指摘されている。また、IT 全般に関す る能力をバランスよく有している人材に関しても、セキュリティに関する教育 を一定程度行っていく必要がある。 (2)人材育成に関する政府の取組の必要性 情報セキュリティに関する我が国の課題を解決すべく、上記1.及び2.と いった課題に対応していくためには、我が国企業による主体的な取組は不可欠 21 である。そのためには、上記に示した技術型の情報セキュリティ人材の育成に 加えて、経営型の情報セキュリティ人材を育成していくことが重要もあり、こ れまでの情報セキュリティ政策における経営者向けの取組を引き続き適切に 実施していくとともに、新たな課題に対応していくことの必要性を提起してい く必要がある。 また、情報セキュリティに関する取組を政府・企業が実施していく上では、 それらを実際に実践する人材を確保していく必要がある。民間企業におけるこ のような人材の確保・育成は基本的には市場原理を通じて労働市場から人材を 確保したり、自ら育成したりすることが効率的・効果的である。しかしながら、 図表 1-13のように、企業において情報セキュリティ人材が不足している と考えている状況においては、そのような情報セキュリティ人材の労働市場を 活発にしていくため、政府としての取組が求められるところもある。 その他 12% 必要なサービ スや製品を確 保できないた め(予算上の 制約も含む) 38% どのようなリス クがあるか不 透明なため 12% どのような対策 を採るべきか 十分わかって いないため 15% 自社に必要な 人材が確保で きないため(予 算上の制約も 含む) 23% N=34 図表 1-13 企業において十分な情報セキュリティ対策を実施できない理由 出典:経済産業省調査(2011 年) 4.政府機関を狙ったサイバー攻撃 (1)現状 2009 年 7 月には、米国、韓国を狙った大規模サイバー攻撃が発生した。こ れは、経済活動や社会生活の多くの面に情報通信技術への依存が進む我が国 にとって、情報セキュリティ上の脅威が安全保障・危機管理上の問題になり 得ることを示す契機となった。 22 また、2010年9月には、我が国政府機関に対するサイバー攻撃が実行され、 「国民を守る情報セキュリティ戦略」(2010年5月11日情報セキュリティ政策 会議決定)においても指摘されていた、我が国政府機関に対する大規模なサ イバー攻撃の脅威が現実化することとなった。 (2)政策対応等の動向 2010年12月、サイバー攻撃事態に関し、政府として迅速かつ的確に対応す るため、各府省庁が収集したサイバー攻撃に係る情報を速やかに内閣官房情 報セキュリティセンター(以下「NISC」という。)に集約し、各府省庁等の必 要な範囲に適時・適切に共有される体制が強化された。 また、大規模なサイバー攻撃に悪用されるDDoS(Distributed Denial of Service)攻撃は、悪意のある第三者からの遠隔操作によりサイバー攻撃等を 行うプログラム(ボット)が悪用されることが多いことから、民間の取組と して、ボットの収集及び解析、感染したコンピュータの所有者に対する通知 等を通じたボットの駆除・感染防止に向けた取組を進めているところである。 5.組織内部からの情報漏えい (1)企業関係 近年、企業の組織内部からの意図的な情報漏えいの件数が増加傾向にある。 これは、リーマンショック等に起因する不況の中、従業員による意図的な情 報漏えいの件数が増加しているのではないかと考えられる(図表 1-14参 照)。 120 100 80 出動件数 60 うち内部関係者 故意 40 20 0 2005年 2006年 2007年 2008年 2009年 2010年 図表 1-14 (株)ラックにおける緊急対応実績 出典:第1回サイバーセキュリティと経済 研究会 西本委員意見書より抜粋 23 また、クラウドの進展に伴い、サイバー空間全体に膨大な情報が蓄積されつ つあり、仮に蓄積された情報が漏えいした場合、産業界全体に大きな影響を与 える可能性がある。 しかしながら、現在の企業の情報セキュリティ対策については、組織の情報 セキュリティ基本方針の準拠による情報資産のセキュリティ確保を前提(ISMS の準拠等)としているため、悪意を持った意図的な機密情報の漏えいに対して は、既存の情報セキュリティマネジメント対策では限界がある。 (2)政府機関関係 ① 我が国政府機関における情報漏えい 2010年秋、尖閣沖漁船衝突事件のビデオ映像の流出事件が発生するなど、 政府の保有する情報がネットワーク上に流出し、極めて短期間に世界規模で 広がる事案が発生したところである。加えて、過去においても、外国情報機 関等の情報収集活動による情報の漏えい事案が発生しているところである。 こうした事案は、改めて、政府機関における情報セキュリティ対策の必要 性が再認識される契機となった。 事件名 検挙年 事案概要 罪名・処分結果等 内閣情報調査 室職員による 情報漏えい事 件 2008年 在日ロシア大使館書記官から 工作を受けた内閣情報調査室 職員が、現金等の謝礼を対価 に、職務に関して知った情報 を同書記官に提供したもの ・国家公務員法違 反収賄 (起訴猶予処分) ・懲戒免職 中国潜水艦の 動向に係る情 報漏えい事案 2008年 情報本部所属の一等空佐が、 職務上知り得た「中国潜水艦 の動向」に関する情報を、防 衛秘密に該当する情報を含む ことを認識した上で、部外者 ・自衛隊法違反 (不起訴処分) ・懲戒免職 に口頭により伝達したもの 尖閣沖漁船衝 突事件に係る 情報漏えい事 案 2010年 神戸海上保安部の海上保安官 (巡視艇乗組員)が、中国漁 船による巡視船衝突事件に係 る捜査資料として石垣海上保 安部が作成したビデオ映像を 24 ・国家公務員法違 反(捜査中) ・停職12か月(辞 職) インターネット上に流出させ たもの(捜査中) 国際テロ対策 国際テロ対策に係るデータがインターネット上へ掲出された に係るデータ もの。当該データには、警察職員が取り扱った蓋然性が高い のインターネ 情報が含まれていると認められた。 ット上への掲 出事案 図表 1-15 政府機関における主要な情報漏えい事件等の概要 出典:第1回秘密保全のための法制の在り方に関する有識者会議資料より ② ウィキリークス6による米国等政府機関における情報漏えい 2010年11月末より、米国外交機密文書数十万点が暴露されつつある。内容と しては、公式では公開されることのなかった外交公電や世界中の重要施設につ いての情報などであって、米国に限定されることなく、日本を含め各国政府機 関の機密文書が含まれている。 ウィキリークスにおける各国政府機関の機密文書の暴露については、政府機 関における秘密保全と、自由なインターネット空間との関係に一石を投じると ともに、自由なインターネット空間を保持するという主義・主張を有する「ア ノニマス」という高度なハッキング技術を有する集団の存在を世界に知らしめ るきっかけとなった。 (3)政策対応の動向 ① 企業関係 2009 年の通常国会で、 「営業秘密侵害罪」の処罰対象が改正前と比べて「競 業関係にない第三者に営業秘密を開示する行為や、企業の信用失墜等を目的と した行為」についても広げること等を内容とする、不正競争防止法(平成 5 年法律第 47 号)の改正がなされ、2010 年 7 月に施行された。 当該改正を受け、経済産業省は、事業者の適切な営業秘密の管理に向けたア プローチを支援するため、同年 4 月、「営業秘密管理指針」を改訂している。 同指針では、不正競争防止法において刑事罰の対象とされた行為の明確化を行 うとともに、悪意を持った意図的な機密情報漏えいがなされないための秘密管 理の方法(情報セキュリティ対策)についても提示している。 また、2011 年の通常国会において、被害企業の申出により、営業秘密の内 匿名により政府、企業、宗教などに関する機密情報を公開するウェブサイトの一 つ。投稿者の匿名性を維持し、機密情報から投稿者が特定されないようにしている。 6 25 容を公判で明らかにしないことを可能とする特例の規定追加等を内容とする 不正競争防止法の改正がなされた。 今後、営業秘密管理指針についても改訂がなされ、企業において、悪意を持 った意図的な機密情報漏えい対策の充実が図られることが見込まれる。 ② 政府機関関係 (2)で記載したような、政府機関の情報保全体制に対する信頼が揺らぐ ような事態が発生したことを受け、「政府における情報保全に関する検討委員 会」が設置され、秘密保全に関する法制の在り方や特に機密性の高い情報を 取り扱う政府機関の情報保全システムに関し必要と考えられる措置について 検討が進められ、情報保全システムについては、2011 年 7 月 1 日に報告書が 取りまとめられた。7 具体的には、秘密保全法制については、秘密の範囲、秘密の管理方法、罰 則の水準等について検討している。また、情報保全システムについては、特 別管理秘密等の特に機密性の高い情報を取り扱う政府機関の情報保全システ ムの現状や、過去発生した情報漏えい事案及び事後強化した対策等を踏まえ た上で、守るべき情報、対象となるシステム及び想定される脅威について整 理し、情報漏えい防止等のために必要と考えられる措置について取りまとめ られた。 6.世界の情報セキュリティ政策 (1)主要国の情報セキュリティ政策の動向 サイバー攻撃への対応といった情報セキュリティ政策の推進は我が国のみ ならず、世界各国においても急務となっており、取組が進められている。 ① 米国における取組 米国においては本年 5 月に米国大統領府が「サイバースペースのための国際 戦略」8及び「サイバーセキュリティに関する法的な提案」9を発表している。 7 http://www.kantei.go.jp/jp/singi/jouhouhozen/dai2/kaisai.html 8 http://www.whitehouse.gov/blog/2011/05/16/launching-us-international-strategy-cybers pace 9 http://www.whitehouse.gov/blog/2011/05/12/administration-unveils-its-cybersecurity-leg islative-proposal 26 図表 1-16 米国「サイバースペースのための国際戦略」 「サイバースペースのための国際戦略」では、パートナーシップを強化する ための外交、抑止力のための防衛力、繁栄とセキュリティを構築するための開 発を3つの柱に据え、それらを実現するための優先的な政策事項として、①経 済:国際標準の推進及び革新的・開放的な市場、②ネットワークの保護:セキ ュリティ・信頼性・復元力、③法執行:協調の拡張及び法の支配、④軍事:21 世紀の安全保障上の課題への対応、⑤インターネットのガバナンス:効果的・ 包含的な体制の推進、⑥国際開発:能力・セキュリティ・繁栄の構築、⑦イン ターネットの自由:原則的な自由及びプライバシーの支援、を提起している。 また、「サイバーセキュリティに関する法的な提案」では、米国市民を守る ための方策、国家の重要インフラを保護するための方策(産業界・州・地方自 治体への支援・情報共有体制の構築、重要インフラのサイバーセキュリティ計 画構築)、連邦政府のシステム・ネットワークの保護の方策等について記述し ている。 ② 英国における取組 英国においても、「戦略的防衛及び安全保障レビュー」において「国家サイ バーセキュリティ計画」を支援するために今後 4 年間で 6.5 億英ポンドの投資 を表明したり10、ミュンヘン安全保障会議においてハーグ外相の演説において 10 http://www.number10.gov.uk/news/latest-news/2010/10/strategic-defence-review-55906 27 サイバー空間の利用に関する 7 つの国際規範を提唱する11等、情報セキュリテ ィの強化に取り組んでいる。 ③ G8 としての取組 2011 年 5 月に行われた G8 サミットの首脳宣言12では、インターネットが市 民、企業、政府それぞれにとって不可欠であることを基本的な考えに据えつつ、 インターネットに関わる諸要素に関して各国のコミットメントを記述してい る。インターネット上のネットワーク及びサービスの安全に関しては、様々な 利害関係者に関わる問題であるとして、対策のために各国が協力していく重要 性が強調された。 (2)標的型サイバー攻撃対応や制御システムの安全性確保策への各国の対応 今般の研究会において取り上げた標的型サイバー攻撃への対応及び制御シ ステムの安全性確保策に関しては、これまで欧米で以下のような取組が行われ てきている。 ① 標的型サイバー攻撃への対応 ア 米国 (ア)2008 年に不正プログラムのシステム侵入を許して情報を搾取された 経験から、国防省は「バックショット・ヤンキー作戦」(詳細非公表) を実施。 (イ)ソフトウェア及びハードウェアに組み込まれた不正プログラムによる 情報搾取を防止すべく、国防省は電子部品の認証を行う制度を構築。 (ウ)国家安全保障局(NSA)は侵入行為にリアルタイムで対抗する防衛措 置を自動的に発動できるシステムを開発。 イ 欧州 (ア)2009 年 3 月に欧州の政府や企業の情報システムが攻撃されて機密情 報を搾取された経験等から、欧州委員会はサイバー犯罪等に関する新た な EU 指令を提案。 (イ)また、欧州ネットワーク・情報セキュリティ庁(ENISA)の権限を強 化する EU 規制を提案。 11 12 http://www.fco.gov.uk/en/news/latest-news/?view=Speech&id=544853682 http://www.mofa.go.jp/mofaj/gaiko/summit/deauville11/index.html 28 ② 制御システムの安全性確保策 ア 米国 (ア)重要インフラ等の制御系システムの情報セキュリティに対応すべく、 US-CERT 内に ICSCERT(Industrial Control Systems CERT)を構築し、 制御系システムに特化したマルウェア解析、インシデント対応、ぜい弱 性ハンドリング、ガイドラインや評価ツール作成、教育訓練等を実施。 (イ)官民で ICSJWG を組織し、年 2 回の全体大会と複数の WG 定常活動を通 じて情報共有を促進。 イ 欧州 (ア)英国の CPNI では、業界ごとに毎月情報共有会を開催し、ガイドライ ンや評価ツールも作成。 (イ)EU 各国間の定例会合を通じて情報が共有されており、他の国も英国 にならった活動を展開。 29 第2章 新しい3つの政策 第1章において、情報セキュリティ政策を取り巻く環境の変化と現状認識に ついて説明したが、これらへの対策を実施していく上では、以下を念頭に置く 必要がある。 ・経済活動(特に企業価値の増加促進・減尐防止)の維持・拡大とともに、 経済活動の一環として、システムの安全性向上を通じてアジア等の著しい経済 成長を更に着実なものとしつつ、それら地域での成長を日本の成長にも結実さ せる必要がある。 ・国民生活の基盤を提供するライフラインや企業の製品・サービス提供の基 盤となるサプライチェーンを維持する必要がある。 ・これらを統合的に支える国の政策・企業の資源を維持・向上する必要があ る。 以上の観点も踏まえ、3つの分野について、本研究会で審議した政策の方向 性を提示する。すなわち、 「1.サイバー攻撃の質的変化~標的型サイバー攻撃 の増加~」、「2.制御システムに対する脅威」及び「3.情報セキュリティ人 材の育成」について、以下、新しい政策の方向性を提示する13。 1.標的型サイバー攻撃への対応 (1)標的型サイバー攻撃への対応が困難な理由 第1章1.のとおり、標的型サイバー攻撃は不正プログラムを大量に配布す る従来の形式のサイバー攻撃と異なる方法で行われているが、これは、標的型 サイバー攻撃では、特定の組織・個人を確実に感染させることを目的としてい ることから、一人当たりの感染率を向上させるための工夫がされているためで ある。そのような工夫の主要な例は①ソーシャル・エンジニアリングの利用、 ②公知でない不正プログラムの利用、③ぜい弱性の利用、である。また、これ らは複用されることが多い。 ① ソーシャル・エンジニアリングの利用 ソーシャル・エンジニアリングの利用とは、たとえば以下の図表2-1のよ うに、メールアドレス等の差出人情報を詐称した上で、業務に関連するような 文面のメールを送付することにより、攻撃対象者にあたかも自分宛の業務上の メールであるかのように思わせ、添付ファイルの実行を誘導することである。 13 「4.政府機関を狙ったサイバー攻撃」及び「5.組織内部からの情報漏えい」につい ては上述のとおり、一定の政策対応等が進んでいる状況にあり、引き続き、上記政策対応 等を実施していく。 30 図表 2-1 標的型サイバー攻撃の事例 出典:第5回サイバーセキュリティと経済 研究会 日本セキュリティオペレーション事業者協議会(ISOG‐J)提出資料より抜粋 近年では、ブログやソーシャルネットワーキングサービス(SNS)の普及に より、個人に関する情報を第三者がより簡単に入手することが可能になってい ることも、ソーシャル・エンジニアリングが利用されやすくなっている背景に あると考えられる。 ② 公知でない不正プログラムや不正命令の利用 アンチウイルスソフトによって不正プログラムを検知する最も基本的な方 法は、アンチウイルスソフトが有する不正プログラムのブラックリスト(不正 プログラムの定義ファイル)と PC 内のプログラムのリストを照合し、ブラッ クリストに載っているプログラムがあればそれを特定するというものである (いわゆる「定義ファイル検索」)。 31 不正プログラムを検知するため、後述するように、各社のアンチウイルスソ フトには定義ファイル検索以外の手段でも不正プログラムを検知するための 機能を用意しているが、定義ファイル検索だけに着目した場合、これまでに使 用されたことがない不正プログラムであれば、不正プログラムとして認識する ことは困難である。 標的型サイバー攻撃においては、公知でない不正プログラムを使用すること により、定義ファイル検索による検知を回避するとともに、尐数の攻撃対象に 対してのみその不正プログラムを利用することにより、攻撃後も定義ファイル 検索によって検知される可能性を低減していると考えられる。 また、不正プログラムの活動を検知・防止するための方法としては、不正侵 入探知装置(IDS)や不正侵入防止装置(IPS)を利用することも有用である。 しかし、このような方法も、基本的には情報システム内でやり取りされる情報 を不正命令に関するブラックリスト(「シグネチャ」と呼ばれる)と照合する 形式で行われているものである。 このため、仮に攻撃者側がこれまでに使用されたことがない不正な命令を使 用して攻撃を行う場合や、通常のシステムの活動で日常的に行われる命令を使 って攻撃を行う場合には、これらの攻撃を検知することは困難である。 ③ ぜい弱性の利用 標的型サイバー攻撃では、ユーザが感染に気付かないよう、ソフトウェアの ぜい弱性を利用して不正プログラムに感染させることが多い。これは、実行プ ログラムを利用した攻撃(ぜい弱性を利用せず、不正プログラムのインストー ルを誘発する攻撃)に比較して、ぜい弱性を利用した感染の方が、添付ファイ ルを開封するだけであったり、ウェブサイトにアクセスするだけであったりと、 ユーザに認識されづらい等の特徴があるからである。 (2)研究会における議論 第1章1.に示されたように、標的型サイバー攻撃が我が国において現在増 加傾向にあり、かつ企業に対する実害が確認されていることから、標的型サイ バー攻撃の防止にどのような措置が必要で、いかなる取組を行っていくべきか が本研究会において議論された。以下、研究会において議論され、得られた政 策の方向性である。 ① 標的型サイバー攻撃の特徴の整理 標的型サイバー攻撃と大量配布型の攻撃には以下のような違いがある。 32 標的型サイバー攻撃 大量配布型攻撃(従来の攻撃) 差出人 攻撃対象が所属する組織 不定 や関係者を詐称 メール表題・内容 攻撃対象に深く関連して 一般的 いるテーマ ウイルス対策ソフト 低い(公知ではない不正プ 高い(公知の不正プログラム) での検知率 ログラム) ぜい弱性が利用され 文書ソフトウェア等 るソフトウェア 図表 2-2 文書ソフトウェア等 標的型サイバー攻撃の特徴 ② 標的型サイバー攻撃の対象となるソフトウェア 標的型サイバー攻撃は、メールやウェブを経由して感染を引き起こすことが 多いため、攻撃の際にぜい弱性が利用されるソフトウェアは多くの IT ユーザ 端末で利用されているような汎用的なソフトウェア14であることが多いと考 えられる。実際、本研究会の過程において行った専門家に対するヒアリングで は、標的型サイバー攻撃のほとんどが上記のような汎用的なソフトウェアを介 して行われていることが確認された。 ③ 標的型サイバー攻撃における攻撃手法の「使い回し」 標的型サイバー攻撃は攻撃対象に気付かれないように攻撃を行うことが目 的であるため、攻撃者側の心理としては、「一つの攻撃対象に対して一つの攻 撃手法を利用する」ことが理想である。しかしながら、本研究会の過程におい て行った専門家に対するヒアリングでは、現状としては、「一つの攻撃対象に 対して一つの攻撃手法を利用する」ような攻撃もまれに散見されるものの、一 定期間内に利用できるユーザが未対応のぜい弱性の数が限定的である等の攻 撃者側の制約により、多くの場合には攻撃手法が、公知にならない範囲内で、 使い回されていることが確認された。 ④ 標的型サイバー攻撃への対応の整理 上記の①~③に基づき、標的型サイバー攻撃への対応を検討したところ、標 的型サイバー攻撃には「攻撃対象ソフト」と「攻撃手法」という限定的ながら も共通性があることから、それへの対応には、そもそもユーザが採るべき防 14 たとえば、文書作成・閲覧ソフトやウェブブラウザ等。 33 止・軽減対策に加え、横断的な取組の有効性の可能性も議論された。 まず標的型サイバー攻撃への対応を大別すると、①個々のユーザにおける防 止・軽減対策、②ユーザ・ベンダ一体の防止対策、があり、また、個々のユー ザにおける防止・軽減対策は、ア.技術面での対策、イ.管理面での対策、に 分けられることが確認された。 図表 2-3 標的型サイバー攻撃への対応 (3)政策の方向性 以下、それらの対策に関して詳述する。 ① 個々のユーザにおける防止・軽減対策 ア.技術面での対策 個々のユーザにおける防止・軽減対策について、技術面に関しては、これ までの定義ファイル検索に加え、標的型サイバー攻撃に特徴的な攻撃手法に も対応できる技術・機能が既に民間企業によるイノベーションを通じて開発 されている。また、そのような対策を多層的に実施することにより、標的型 サイバー攻撃によって被害を受ける可能性が低減される。主な措置を紹介す る。 (ア)ぜい弱性対策 発見されたぜい弱性に対してパッチをあてる等の対策を実施すること に加え、公知でないぜい弱性を利用した不正プログラムによる攻撃を緩和 34 するための手段も開発されている。このような手段を活用することにより、 プログラムのぜい弱性を狙った不審なコードの実行そのものを防いだり、 不審なコードが実行された後のプログラムの動作を制限したりすることに より、不正プログラムによる被害を防ぐことが可能である。 (イ)振る舞い検知 不正プログラムに特徴的な動作・活動を監視し、不正プログラムに近い 動作を行っているプログラムを特定し、ユーザに通知する機能。仮想環境 においてプログラムを作動させることによってより安全にプログラムを 検証したり、プログラムの動作・活動を点数化して一定の点数を超えた場 合にプログラムを特定したりすることもある。 なお、どのような動作・活動が不正プログラムに特徴的であるかの判断 に関しては、不正プログラムの傾向に応じて判断基準を修正していく必要 がある。 (ウ)レピュテーション分析 IT ユーザにおけるプログラムの利用状況に関する情報を集約し、その情 報を統計的に分析。その情報に基づき、IT ユーザが新たなプログラムを実 行しようとした際、そのプログラムが広く利用されていないプログラムで ある場合には、それが不正プログラムである可能性があることをユーザに 対して通知する。 (エ)不正な通信の検知・遮断 これまでの水際での不正プログラム感染防止という発想を転換し、不正 プログラムに仮に感染したとしても、不正プログラムによる外部への情報 送信を阻止できれば被害を防止できるとの考え方もある。このような考え 方に基づき、不正プログラムが行う外部通信を特定できる機能や外部通信 の際に認証を求めるような機能をシステムに搭載することにより、被害を 防止・低減することも可能である。 イ.管理面での対策 標的型サイバー攻撃の被害の防止・軽減のためには、ユーザがそもそも不 審メールの添付ファイルを実行したり、不審なウェブサイトに接続する動作 を行わないようにしたりすることも必要な取組であることが研究会におい て指摘された。そのような管理面での措置に関し、以下、一部紹介する。 35 (ア)社員に対する教育 以下のような社員教育を行う。 ・標的型サイバー攻撃の被害を回避するため、不審メールの添付ファイ ルを実行したり、不審なウェブサイトに接続したりしないようにする ため、社員に対して、メールの発信元を確認したり、メールの内容が 業務に真に関係あるものかどうかを確認するようにする。 ・PC やサーバのフリーズや動作の遅延といった、システムの正常でな い動作や兆候を察知し、不正プログラムへの感染を早期に認識できる ようにする。 (イ)端末において実行できる操作を限定する 不正プログラムの感染や活動を防ぐため、端末が実行し得るプログラム や動作を限定し(実行できるプログラムや動作のホワイトリスト化)、不 正プログラムの感染・活動に必要な動作を行えないようにする。 (ウ)重要情報の管理 仮に不正プログラムに感染したとしても、真に重要な情報を搾取されな いよう、重要情報へのアクセス権限を多重化したり、分散管理したり、暗 号化したりする。 36 攻 Ⅰ.メール添付型 撃 者 の 攻 Ⅱ.不正サイト誘導型 撃 段 階 Ⅲ.可搬メディア利用型 ユ ー ザ の 技 術 面 の 対 策 ユ ー ザ の 管 理 面 の 対 策 受信メールが届く前に 添付ファイル等を評価 ・管理する機能の導入 ウェブサイトの信頼性 評価機能の導入 不審な添付ファイルの 実行をしない等の社員 教育 図表 2-4 攻撃先ITシステム 内部での活動・物色 不正プログラム感染 プログラムの信頼 性評価機能の導入 重要情報の格納場 所等の特定・窃取 プログラムの外部通信機能の監視を強化し、 外部との不審な通信を遮断 プログラムのシステム内行動の監視、不正プログラムの評価機能の導入 エンドユーザが実行できるプログラムや命令の制限 システムの正常でない動作や兆候を早期に認識する ための社員教育 重要情報管理強化 -アクセス権限の 多重化 -分散管理 -暗号化 個々のユーザの防止・軽減の対策の全体像 ウ.個々のユーザにおける防止・軽減対策の実施の促進 上記ア.及びイ.に示されるような個々のユーザにおける対策があり得る が、図表 2-5に示されるように、標的型サイバー攻撃に対する認識が低 いこともあり、このような対策が十分に実施されている状況とは言えず、更 なる措置の実施を働きかけていく必要がある。 ユーザにおける更なる対策を促していくためには、経営型情報セキュリティ 人材の育成に加え、ユーザが情報等を保護するために維持すべき技術基準を策 定していくことも有効と考えられる(経営型情報セキュリティ人材の育成に関 しては、人材育成の項目において後述する。)。 技術基準を策定する場合には、その基準を満たすための適切な尺度を示すこ とも適切と考えられ、具体的には、作成した基準を個人情報保護法において運 用し、同基準を満たしている場合には、仮に個人情報の漏えいが起きたとして も適切な対策をとっていたと判断するといったことが検討される。 37 このような個々のユーザにおける防止・軽減対策の実施を促進していくため には、ユーザに加え、ユーザに対して IT システムを提供するシステム・イン テグレータ等への働きかけを実施していくことも極めて有効である。現在 IPA の「脅威と対策ワーキンググループ」では、標的型サイバー攻撃の防止・軽減 に有効なシステム設計に関するガイドを作成しており、このようなガイドの継 続的な改善を通じてユーザ等の取組が促進されることが期待される。 また、上述のとおり、標的型サイバー攻撃のほとんどは汎用的なシステムに 対して行われているものだが、①個々のユーザにおける防止・軽減対策は非汎 用システムへの攻撃に対しても有効な対策である。 ワンクリック詐欺 64.6% 35.4% スパイウェア 51.1% 48.9% フィッシング 53.6% 46.4% 標的型サイバー攻撃 19.0% 81.0% 内容を知っている 内容を知らない N=5,019 図表 2-5 出典:IPA 標的型サイバー攻撃の認知度 「2010 年度 情報セキュリティの脅威に対する意識調査」 ② ユーザと情報セキュリティ企業の連携による防止対策 上記①のような個々のユーザにおける対策を多層的に実施した場合であっ ても、現時点では、インターネットへの接続を維持しながらも標的型サイバー 攻撃を完全に防ぐための手だてが無いと言わざるを得ない。 前述したとおり標的型サイバー攻撃には対象ソフトウェアや攻撃手法とい ったユーザが共通した対策をとりうる事項がある。個々のユーザによる取組を 補完するための方策としては、個々のユーザが受けた攻撃が発覚した場合に、 当該攻撃に関する情報を関係者間で適切に共有することにより、同様の攻撃に よる被害が将来発生することを防ぐことが考えられる。 ア.情報共有の有効性 情報共有の必要性が標的型サイバー攻撃への対応において指摘されるの は、大量配布型の攻撃と異なり、特定の標的型サイバー攻撃の対象となるユ ーザが尐数であるからである。図表 2-6の概念図に示されるように、大 38 量配布型の攻撃の場合には、情報セキュリティ企業は他の情報セキュリティ 企業から情報共有を受けずとも、そのような攻撃を行われていることに気付 き、今後の同種の大量配布型の攻撃を防ぐための対策を講じることが可能で ある。 大量配布型の攻撃 セキュリティ企業 A の契約者群 標的型サイバー攻撃 セキュリティ企業 A 攻撃 の契約者群 セキュリ ティ企業 攻撃 C の契約 セキュリティ ティ企業 C の契約 セキュリティ 者群 企業 B の契約者群 者群 企業 B の契約者群 いずれのセキュリティ企業にとっても攻撃は 公知なため、いずれの企業と契約していても、 対策が講じられており、今後の攻撃は防げる。 図表 2-6 セキュリ セキュリティ企業 A の契約者は今後の攻撃を防げ るが、その他の企業の契約者は攻撃を防げない。 大量配布型の攻撃と標的型サイバー攻撃の比較の概念図 他方、標的型サイバー攻撃の場合には、尐数の標的に対してのみ同様の標 的型サイバー攻撃が実施されることから、情報セキュリティ企業はそのよう な攻撃が行われている実情を把握することが困難であり、今後の同種の標的 型サイバー攻撃が行われた場合にそれを防ぐための対策を講じることもま た困難である。 しかし、標的型サイバー攻撃に関する情報セキュリティ企業等の間での情 報共有を促進し、標的型サイバー攻撃に関する情報を素早く認識するための クリティカル・マスを作り上げることが可能である。このようなユーザ・ベ ンダ一体の防止対策を採ることができれば、公知ではない攻撃手法を公知の ものにし、それによって第二、第三の被害を防ぐことができる。 また、標的型サイバー攻撃に関する情報共有を促進することができれば、 標的型サイバー攻撃に関する我が国における分析能力が向上し、その結果と して標的型サイバー攻撃を行う攻撃者の目的を把握し、将来の攻撃の予測や 未然防止に役立てるという効果も期待できる。 このような情報共有を通じた標的型サイバー攻撃への対応の必要性はユ ーザに対するアンケート結果にも以下のとおり表れている。 39 ユーザが考える標的型サイバー攻撃の被害拡大防止のために 最も有効な取組【複数回答】 N=46 セキュリティ企業間の連携による情報共有 30.4% セキュリティ企業と公的機関の連携による情報共有 60.9% 公的機関による積極的な情報収集と対策 45.7% その他 以上の取組は不要 8.7% 0% 0% 図表 2-7 20% 40% 60% 80% ユーザが考える標的型サイバー攻撃の被害拡大防止のために最 も有効な取組 出典:経済産業省調査(2011 年) 上の図表 2-7からも分かるとおり、ユーザとしては、情報共有が被害 拡大防止に有益であり、なおかつ公的機関が一定の関与を有していた方が有 効と考えていると理解できる。この内容は、専門家や事業者に対するヒアリ ングにおいても見られた見解であり、その理由としては、ユーザに対する働 きかけは公的機関が関与している方が適切との考えが示された15。 なお、標的型サイバー攻撃への対応に情報共有が有効であるのは、特定の 標的型サイバー攻撃の手法が、多くのユーザに利用されるような汎用的なソ フトウェアを対象としている場合であり、非汎用的なソフトウェアを対象と した標的型サイバー攻撃に関しては、情報共有の有効性は限定的であること に留意する必要がある。 また、同様に、標的型サイバー攻撃への対応に情報共有が有効であるのは、 特定の標的型サイバー攻撃の手法が、複数の攻撃対象に対して「使い回され る」場合であり、標的型サイバー攻撃に使用される攻撃手法が使い回されな い場合には情報共有の有効性は限定的であることに留意する必要がある。 15 米国においても、オバマ政権発足後に発表された「サイバー空間政策レビュー(2009 年 5 月:いわゆる「60 day Cybersecurity Review」) 」においても、標的型サイバー攻撃に関 する情報の共有が、サイバー攻撃を防止しようとする政府や産業界にとって有益な情報で あることが示されている。 http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf 40 イ.情報共有に関する課題と対応の方向性 情報共有を行う際には以下のような制約又は課題に留意する必要がある。 ・標的型サイバー攻撃に使用されたメールや不正プログラムの検体には個 社に関する機微な情報が含まれており、そのような機微な情報を共有す ることは個社にとって困難である。 ・標的型サイバー攻撃を受けた事実が仮に適切な共有範囲を超えて公にな ることがあれば、当該企業の企業価値が低下する可能性があり、情報共 有にはそのようなリスクが伴うので、個社は情報共有に慎重になる可能 性がある。 ・個社にとって、情報共有を行うことのの直接的な便益は明確ではない一 方、情報共有を行うためには、社内で情報を集約したり、個社に関する 情報を削除したりする必要があり、個社にとってコストがかかる可能性 がある。 ・個社にとっての便益が明確になるような枠組みを構築する必要がある。 (しかしながら、経済産業省が行った調査(図表 2-8)によれば、 ユーザ企業も自社や取引先等を特定・推測できる情報が含まれない場合 には共有可能と考えている。) セキュリティ企業と公的機関の連携取組による 情報共有に関するユーザの考え方 自社や取引先 等を特定・推 測できる情報 が含まれない 場合には共有 可能 76% 共有できない 7% 共有 可能 17% N=29 図表 2-8 セキュリティ企業と公的機関の連携取組による情報共有に関す るユーザの考え方 出典:経済産業省調査(2011 年) 41 ウ.ユーザ・ベンダ一体の防止対策を実施するためのパートナーシップ 実効的な情報共有体制を実現するためには、上記のような情報共有に関す る課題を解決できるような「ユーザ・ベンダ一体の防止対策を実施するため のパートナーシップ」を構築するための取組を行っていくことが必要である。 16 より迅速な復旧や 効果的な再発防止 ITユーザ 自社を対象 とした標的 型サイバー 攻撃に関す る情報の提 供 企業コミュニティ (日本国内数10社) 情報セキュリティ 監視企業 海外の 不正サイト 攻撃サイト閉鎖やぜ い弱性対策促進に有 益な情報の提供 情報の共有 閉 鎖 公的領域 アンチウィルスベ ンダー 攻撃に関する傾向と対策や緊急度の高い注意喚起等 図表 2-9 「ユーザ・ベンダ一体の防止対策を実施するためのパートナー シップ」の全体像 なお、上記のようなパートナーシップを構築し、実効あらしめるためには以 下の点を考慮すべきである。 ・パートナーシップは、情報セキュリティ企業を中心に構築することが効果 的・効率的。 (情報セキュリティ企業は、標的型サイバー攻撃に関する情報をユーザか ら集約して個々のユーザへの負担なく情報を共有したり、共有を受けた 情報を個々のユーザに対するサービスの向上に利用することが可能で 16 また、このような自律的な枠組みに加えて、公的領域がユーザにとってのラストセーフ ティネットとして機能できるようにすることの必要性も指摘されている。 42 ある。このため、個々のユーザが情報提供したり、提供を受けたりする ことよりも、実効性が向上。) ・標的型サイバー攻撃の防止のために共有することが有益な情報を精査する ことが必要。 ・情報の取扱いを含めた情報共有に関するルールを整備することが必要。 (標的型サイバー攻撃に関する情報は機微であることが多いため。) ・また、情報を集約するのであれば、公的機関が関与することが適切。 ・情報セキュリティ企業の取組に向け、公的機関による普及啓発活動も必要。 (ユーザが直接情報を提供・共有することを前提としないパートナーシッ プであったとしても、情報セキュリティ企業によるパートナーシップへ の積極的な参画を増やしていくためにはユーザの理解は不可欠である ため。) ・情報セキュリティ企業の参画を促すような公的機関主導のプロジェクトが 行われることが望ましい。 (情報セキュリティ企業がパートナーシップに積極的に取り組んでいく ためには、自らのビジネスに裨益するとの感触が得られることが必要。 そのためには、情報セキュリティ企業の参画を促すような経済産業省主 導のプロジェクトが行われることが望ましい。) 以上を踏まえて、公的機関が支援する形で、情報セキュリティ企業、IT ユ ーザ企業、公的機関の参加を得て、情報共有を試行するためのパイロットプロ ジェクトを実施し、そのフィードバックに基づき、情報共有の有効性の検証、 情報共有のルール整備、情報共有にかかるコストの精査等を行いつつ、早期に パートナーシップの構築を目指すことが適切である。 パイロットプロジェクトにおいて特に重視すべきことは、情報共有の有効性 を確認した上で、どのようにすればユーザとベンダが自発的に情報共有を行っ ていくような仕組みを構築できるかであり、そのためには、なるべく多くの標 的型サイバー攻撃に関して共有可能なサンプルを得て、実際に共有を行ってい くことが重要であり、企業の積極的な参加が期待される。 43 パートナーシップの構成要素 パートナーシ ップにおける 共有ルール ユーザからの 情報を吸収す る仕組み 情報共有促進 のための メカニズム パートナーシップの運営を支援していく ためにパイロットプロジェクトを実施 図表 2-10 パートナーシップへのパイロットプロジェクトの支援 また、標的型サイバー攻撃をより広範な範囲で対応していくためには、上述 のようなパートナーシップを我が国にとどまることなく、国際的にも展開して いくことが有意義であるとの指摘も得られているところであり、パートナーシ ップを更に有効に機能させるための要素として今後検討される。 44 2.制御システムの安全性確保 (1)制御システムにおいて、情報セキュリティ対策が困難な理由等 オフィスネットワークにおける情報セキュリティ対策は進んでいるものの、 リアルタイム性や稼働性が重視される制御システムにおいては、ウイルス対策 ソフトが導入できない、ぜい弱性が発見されている機器に対してもパッチが当 てられない等、オフィスネットワークと同様には情報セキュリティ対策を講ず ることが困難な状況にある。 他方、制御システムをコントロールするためのノウハウが凝縮されたプログ ラムや成分の配合情報、ヒストリーデータ等の情報資産に対する情報搾取被害 も想定され、そのような内部情報をターゲットとした攻撃手法は対応が難しく、 致命的な停止・破壊を与えることができ、サプライチェーンやエネルギーなど のライフラインに与える影響は大きい。 さらに、今後のスマートグリッドの進展に伴い、電力網の監視・制御を担う 制御システムにおける情報セキュリティ上の脅威、双方向通信における需要家 の電力等使用情報や遠隔開閉用の制御信号が通信ネットワークにおいて流通 するため、個人情報の漏えい、発電所やスマートメータをターゲットとしたサ イバー攻撃等、情報セキュリティ上の脅威の増大が想定される。 以下、(2)において、制御システムのセキュリティを確保するため、国内 及び海外における対応状況について説明する。 (2)制御システムのセキュリティを確保するための、国内及び海外における 対応状況 ① 国内の対応状況 プラントの設備の機能不全、機密情報の流出のような脅威が顕在化する可能 性があると認識している制御システムの責任者や担当者が多数いることがヒ アリングによって確認された。 例えば、スタックスネットのような外部からの指示によって直接、制御シス テムをねらった悪意のある操作、明確に制御装置に異常な挙動を起こそうとさ せる攻撃があった場合、システムの破壊又は暴走、操作監視の不能、想定外の 停止が実際に起こると考えられる。また、機密情報の流出に関しては、設計情 報や原材料の配合情報、製品の性能及びヒストリーデータ等の重要情報が流出 してしまうことに不安を感じている(図表 2-11参照)。 45 0 % N=178 % 20 % 40 % 60 % 80 % 100% 100 % 85.4 プラント設備の機能不全 機密情報の流出 72.5 20.1 その他 2.8 3.8 特に想定していない 1.1 無回答 1.1 図表 2-11 脅威の認識 出典:経済産業省調査(2011 年) そのような脅威の認識があり、かつ、今後安全性が重視されるという認識を 有している一方、制御システムにおける情報セキュリティ対策としては、情報 収集又は自社における安全性検証を実施している程度である(図表 2-12 参照)。 ユーザ企業にヒアリングすると、ウイルス対策、ファイアウォールの導入、 ネットワーク監視程度しか実施していないという実態が確認された。すなわち、 外部ネットワークには直接つながっていない、内部関係者が悪意の行為を行わ ないということを前提とした入り口対策を講じているのが実態である。 46 N=84 図表 2-12 安全性に関する認識及び現在、実施している対策 出典:経済産業省調査(2011 年) ② 海外の対応状況~海外市場における安全性評価・認証に関する要求の高ま りと今後のセキュリティ評価・認証~ 近年、我が国の制御システムのメーカが海外市場への輸出等する際に、安全 性評価が求められている。経済産業省の調査によれば、海外輸出企業の半数が、 何らかの国際機関による評価又は適合証明書を求められている(図表 2-1 3参照)。 47 図表 2-13 輸出時に求められる安全性評価 出典:経済産業省調査(2011 年) 例えば、海外に輸出する際、輸出先から機能安全認証17(IEC61508 等)を取得 した装置コンポーネントの利用を RFP(Request For Proposal)に明記される ケースがある。その場合、海外の認証機関及びコンサル会社に評価を依頼しな ければならない。中身のロジックやソフトウェア全てのチェックや設計ドキュ メントの翻訳作業に時間がかかり、認証取得まで 3 年以上も要し、費用も数億 円に達するケースもある。 また、認証プロセスは現地に人と装置を持ち込み、数ヶ月掛けて審査され、 指摘があるとシステムを再構築しなければならない。さらに、ソフトウェアを 改修すると取り直さなければならないので、不具合の改修をすると再認証が必 要となる。 17 機能安全とは、 「機能または故障・障害によって人命に大きな影響を与えるものなどを対 象」としており、厳密にはセキュリティが対象とするものとは異なるが、セキュリティと 機能安全の考え方はリスクを許容目標へ軽減するという点において共通しているため、こ こでは機能安全規格について例示する。 48 安全性については国際標準が既に存在するが、セキュリティについても、米 国を中心にして、現在 IEC62443 が検討されており、今後、安全性と同様に認 証の要求を顧客の RFP に記載されると、それに準拠せざるを得ない状況にある。 海外では、テストベッドや国際標準に適合認証を推進するコンソーシアムが存 在し、セキュリティを含めた検証が実施されている。制御システムにおける国 際的なセキュリティ安全基準に関連するコンソーシアムに日本は未だ積極的 に関与できていない状況である。 図表 2-14 欧米主導の安全性評価と政府の関与 (3)研究会における議論と政策の方向性 第1章2.に示されたように、制御システムにおける情報セキュリティ上の インシデントは増加傾向にあり、制御システムを構成する機器の汎用化や外部 との接続環境が確認された。また、海外では標準化や認証・認定への要求が高 まっており、制御システムにおける情報セキュリティ対策にどのような措置が 必要であるか、いかなる取り組みを行っていくべきかが本研究会において議論 49 された。 以下 3 つの対応分野が、研究会において議論され、得られた政策の方向性で ある。 ・未然防止対策としては、制御システムのセキュリティ基準を作成し、国際 標準化を進めていく。また、国内にある制御システムのセキュリティを客 観的に評価し、かつ、海外に輸出する場合において海外の認証制度と相互 認証に対応できるスキームを整備する必要がある。 ・事後対策としては、インシデントが実際に発生した際、現在、日本におい ては、制御システムという分野においては体制が整っていない。他方、米 国における工業用制御システムの対応チーム(ICS-CERT)は、インシデント が起きた場合に現場に専門家を派遣し、リカバリーをフレキシブルに対応 している。 我が国においても、制御システムにパッチを当てる際に、他のシステム、 機器等に副作用がないかどうかを確認する検証試験、または注意喚起情報 の公開可否の判断ルールの検討を含めたインシデント体制の構築を進めて いく必要がある。 ・共通対策としては、ハイエンド人材等の育成、安全性確保に対するリスク とコスト意識の醸成を含めたユーザ企業、特に経営者への普及啓発を進め て行く必要がある。 50 未然防止対策 セキュリティ基準 共通の評価設備 評価ツール 国際標準へ ス評 キ価 ー認 ム証 国際相互承認へ (将来) 事後対策 インシデント対応体制の構築 • 制御シ ス テムのレスポンスチームによるインシデント現場への技 術派遣。 • パッ チ適用の動作試験や、注意喚起情報の公開可否の判断ルー ルを検討。 共通対策 人材育成、ユーザ企業への普及啓発の推進 ハイエンド人材等の育成、安全性確保に対するリスクとコス ト意識醸成を含めたユーザ企業等への普及啓発 図表 2-15 想定外の脅威を含めたサイバー攻撃のリスク軽減に向けた政 策の方向性 ① 未然防止対策 制御システムの国内セキュリティ標準としては、振る舞い監視を含めた標準、 規格を作成し、国際標準化を進めるものとする。 経済産業省が実施したアンケートによると、類似規格の共通化等による国際 規格が必要という回答が多かった(図表 2-16参照)。ただし、スタックス ネットのような攻撃を想定したような規格はまだ存在しないため、入り口対策 51 を越えたシステムの振る舞い、すなわち異常な挙動を監視するアーキテクチャ を含めた標準を作成し、日本が国際標準化活動に積極的に関与するための戦略 を策定するとともに体制を整備する。 図表 2-16 安全性に関する規格についてのアンケート 出典:経済産業省調査(2011 年) 国際標準化活動と平行して、作成した規格に適合しているか否かを評価・認 証する仕組み作りも重要である。制御システムセキュリティの評価・認証の海 外の動きとして、2011 年 2 月、カナダの民間の認証(Wurldtech 社による Achilles 認証)が自らの民間認証スキームを止め、アメリカの国際計測制御 学会(ISCI)による ISA Secure 認証に基づいたスキームのもとで公認ラボと して位置づけられた。 ISA Secure 認証の評価ツールは、システム全体でのセキュリティ評価、製 品実装レベルの評価、レイヤ 4 レベルまでの通信テストが評価できる。システ マティックセキュリティ評価では、ISO/IEC 61508、ISO/IEC 15408-1/3、OWASP CLASP 等を参照している。実装レベルの評価では、ISA-99、NERC、NIST800-53、 ISO/IEC 15408 等を参照している。そのため、ISA-99 と呼ばれる制御システム のセキュリティ標準に準拠したかが評価でき、ISO/IEC 61508 の SIL(Security Integrity Level)認証と同等の評価を行うことができる。 52 図表 2-17 必要と考えられる施設、設備等についてのアンケート 出典:経済産業省調査(2011 年) 上の図表2-17によると、セキュリティ実施のための評価ツールを提供す る機関が求められている。また、セキュリティテスト実施のための実地用環境 に近い施設(テストベッド)や第三者評価機関に対するニーズも高い。現在、 日本にはそのような機関は存在しないため、今後、政府が支援し、海外と相互 認証できるスキームを構築していく必要がある。 ② 事後対策 経済産業省が実施したアンケートによると、インシデント・レスポンス体制 の整備は、40%強が有効な対策であると回答している(図表 2-18参照) 。 米国の ICS-CERT は、実際にインシデントが起きた際に、支援要請があった場 合の技術支援を現地にて実施しており、即応的にリカバリーを支援している。 インシデントハンドリングとしては、その他にも、パッチを当てる際の制御シ ステム全体の動作確認検証、インシデント情報に関する公開又は非公開のルー ルの明確化を含めた体制を整備していく必要がある。 図表 2-18 インシデント・レスポンス体制の整備が有効な対策であると回 答した企業 出典:経済産業省調査(2011 年) 53 ③ 共通対策 ハイエンド人材には、多くの知見又はスキル等が蓄積されていくが、そのよ うな人材に対する処遇やキャリアパスについて検討する必要がある。また、ユ ーザ企業における制御システムのセキュリティに対する認識は余り高くない ため、比較的意識の高い石油プラント系等のユーザ企業におけるベストプラク ティスを突破口にしつつ、他の業界において認識が高まっていくような施策が 必要とされている。 図表 2-19 人材育成の支援が有効な対策であると回答した企業 出典:経済産業省調査(2011 年) (4)実務の検討 研究会においては、実務の検討体制(図表 2-20参照)、今後実施する 対策(国際標準化、評価認証体制の整備、インシデントハンドリング体制の 整備、人材育成・普及啓発)、協力団体(図表 2-21参照)及び実現年限 (可能なものから早期に成果を出し、2~3 年で実現する。)について合意があ った。今後、上記を実現していくためのタスクフォースを早急に立ち上げ、 実務検討を進めていく。 54 制御システムセキュリティ検討タスクフォース(仮称)の立ち上げ 制御システムセキュリティ検討タスクフォース(仮称) ・全体方針の策定、戦略、各WG調整等 経 済 産 業 省 IEC, ISO, ISA・・・ ・・・ WG WG WG タスクフォースの下にテーマ別にWGを設立し、以下のテーマを個別に検討 • 標準化活動 • 認証・認定制度 • 全体の戦略マップと先行的に推進 すべき個別分野の検討が重要。 • 人材育成 • リスクの見える化、民間によるリス • ユーザー企業への普及啓発 ク軽減のための対策の自立的推 • 脆弱性ハンドリング体制 進のメカニズムの検討も重要。 • インシデントリスポンス体制等 図表 2-20 関 係 者 派 遣 に よ る 海 外 の 標 準 化 団 体 と の 連 携 実務の検討体制 以下に示すような計測制御機器のベンダ及びユーザ事業者の関係団体、学 会・大学・研究機関、セキュリティ関係の公的実務機関の参画が期待できる。 関係団体 FAオープン推進協議会 学会・大学・研究機関 公益社団法人 セキュリティ関係公的実務機関 計測自動制御学会 ・・・ 図表 2-21 ・・・ 協調―協力が期待される団体 55 (5)想定外の自然災害とサイバー攻撃に対して 地震、津波などの想定外の大規模な自然災害により発生するシステムの停止、 製品の発送不可、不良品の製造、製造関連情報の消失といった事象は、想定外 のサイバー攻撃により同様の被害をもたらす可能性を否定できない。そのため、 これまでの情報セキュリティ対策の考え方を見直し、安全性や信頼性も合わせ た包括的な政策が必要であるという認識が研究会にて共有された。 今後、当省としては、実務検討を通じ、制御システムの安全性確保策を検討 していく。そして、制御システムの安全性確保により、各重要インフラの安全 性確保にも貢献していく。 想定外の自然災害 地震 発生事象 津波 ・システムの停止 ・製品の生産不可 想定外のサイバー攻撃 ・不良品の製造 ・製造関連情報の消失 発生し得る事象は変わらない 図表 2-22 自然災害とサイバー攻撃 56 3.情報セキュリティ人材の育成 (1)経営型情報セキュリティ人材の必要性 今般の研究会では、情報セキュリティに関する専門家の育成のみならず、情 報セキュリティ以外の経営に関わる要素も理解した人材の必要性が、多くの委 員から以下のように指摘されている。 経営型情報セキュリティ人材の必要性に関する委員からの指摘(一部) ・ ユーザの経営者に理解を促すための体系だったセキュリティの考えを示す 必要がある。 ・ ユーザ企業の情報セキュリティを強化していくためには、セキュリティの専 門家の育成に加えて、経営型情報セキュリティ人材の育成も進めていかなけ ればならない。 このような問題意識の背景には、「情報セキュリティ対策への適切な資源配 分の実現」が必要、すなわち、「企業における情報セキュリティ対策実施を実 現していくためには、企業内で情報セキュリティ対策のための適切な資源配分 が行われる必要であり、そのためには、そのような資源配分に関する判断を行 う経営層において情報セキュリティに関する理解を高めることが必要。」とい う考え方であると考えられる。 上記考え方を裏付けるように、経済産業省が行った調査(前述図表 1-1 3参照)によれば、我が国企業では、予算上の制約があるがゆえに情報セキュ リティ対策のために必要な資源を確保できていないことが明らかになってい る。 経済産業省においては、経営層における情報セキュリティに関する関心を高 めるとの観点から、これまで情報セキュリティガバナンスの構築・普及に向け た取組を行ってきた。しかし、本研究会において IT システム・制御システム にかかわらず、ユーザ企業の経営者における情報セキュリティに関する認識が 高くないことを踏まえ、今後は、情報セキュリティ全般に関する経営型情報セ キュリティ人材の育成のみならず、前述のように、とりわけ、「標的型サイバ ー攻撃への対応」や「制御システムの安全性の確保」といった最新の個別テー マに関する経営型情報セキュリティ人材を育成していく必要がある。 今後の具体的な取組としては、以下の内容の実施に取り組んでいく。 ・内容を公開しないことを前提とした、経営層向けの最新の情報セキュリテ ィの脅威等に関するセミナーを開催し、個別事例の詳細の説明も含め、情 報セキュリティの脅威及び被害の実態に関する普及啓発 57 (2) 情報セキュリティ人材の育成 ①情報セキュリティ人材を取り巻く環境 第1章3. (1)でも示されたとおり、情報セキュリティ人材に関しては、 情報セキュリティに関する専門家よりも、情報セキュリティに関する知 識・経験を含めて IT 全般に関する基礎的な能力を有している IT 人材が求 められていると考えることができる。 企業が IT 人材に関して情報セキュリティを含めて様々な能力をバランス よく有していることを重視していることは、企業が情報系教育機関に対し て様々な要素に関する教育を求めていること(図表 2-23参照)からも 見てとることができる。 図表 2-23 IT 企業が情報系教育機関において重視して欲しいと感じてい る教育内容 出典:IPA 「IT 人材白書 2011」 58 しかしながら、図表 2-24からも分かるように、現在我が国企業とし ては情報系教育機関において全般的に教育が不足していると感じているこ とも観察される。 図表 2-24 IT 企業が情報系教育機関において不足していると感じている 教育内容 出典:IPA 「IT 人材白書 2011」 このような企業による教育機関に対する「教育内容が不足している」との 認識の背景には、今般の研究会における議論及び大学関係者へのヒアリング を踏まえれば、企業が求める人材と教育機関の教育内容にミスマッチが生じ ている状況があると考えられる。今後情報セキュリティを担える人材を増や 59 していくためには、そのミスマッチを解消していくような取組が求められる ものと考えられる。 ミスマッチやその解消に関する委員等からの指摘(一部) ・ 高校からも含めた教育現場と産業界のミスマッチをいかに改善していくか が一つの課題。ITKEYS18のようなアプローチで IT 人材の育成を推進していた だくようなことが重要ではないか。 ・ ICT 教育推進協議会というものを昨年(2010 年)に作って、IT 領域における 産業界と教育機関の間のコミュニケーション、特に大学院、あるいは専門学 校を含めたところでのコミュニケーションを拡大させていこうという動き を進めようとしている。 背景には、 (教育機関において)スキルセットを取れるようにつくっても、 実は(企業における)ニーズとミスマッチが起きてきて、専門学校も大学も 結構困惑している。同様に、産業界も満足のいく人材が来ないという不満を 持っていることがある。 今後の具体的な取組としては、以下の内容の実施に取りかかっていく。 ・情報セキュリティ人材に関する学校側と産業界側のミスマッチを解消す べく、ICT 教育推進協議会(ICTEPC)19と日本ネットワークセキュリティ 協会(JNSA)20が実践教育に関する詳細な内容を検討するための検討チ ームの構築 ・IPA において、情報セキュリティ人材に関する実際の需給ギャップを明 確にするための取組 ・IPA において、情報セキュリティ人材のキャリアパスモデルを構築する 取組 4 大学院及び 4 企業・団体が連携し、情報ネットワークの管理・運用の現場でリー ダーシップを発揮し活躍できる技術者・実務者を育成する産学連携型の教育拠点形成プロ ジェクト。 19 情報技術(IT)が普及し、インフラ化し、日常生活の中で透明化しつつある社会におい て、今後の安全で信頼できる安定した情報・通信ネットワークとこれらの技術(ICT)基盤 を維持し、発展させていくための人材教育のあり方と教育方法を提言し、教育現場におけ る教育者の育成と教育実践を支援することを目的とした組織。 20 ネットワークセキュリティに関する啓発、教育、調査研究及び情報提供に関する事業を 実施することによって、ネットワークセキュリティに関する標準化の推進と技術水準の向 上に寄与することを目的とした組織。 18情報系 60 図表 2-25 情報セキュリティに関するスキル構築モデル 出典:JNSA より ②セキュリティに関する実践教育 セキュリティに関する教育の方法論に関しては、研究会における議論や関 係者へのヒアリングを通じて、実践教育を行っていくことの必要性が多く指 摘されている。 情報セキュリティの実践教育に関する委員等からの指摘(一部) ・ 大学生を対象に行っている ITKEYS という集中教育プログラムの実施を通じ て、セキュリティ人材の育成のためには実践教育を行っていくことの重要性 を確認した。 ・ 情報セキュリティの専門家はマニュアルやシステムだけで育成できるもの ではなく、IT に関する知識の上に向上心を持って自助努力することが必要。 ・ 技術開発を行っていくために必要な人材は、コンピュータの動く仕組み等の 基礎 IT が理解できているような人材。そのような基礎 IT 能力にセキュリテ ィに関する応用力を OJT や自助努力で開発していくことになる。 また、実践教育の重要性に関しては、情報セキュリティ専門企業が人材育 成を行う上で OJT を重視していることにも現れている(図表 2-26参照)。 61 情報セキュリティ専門企業における 情報セキュリティ人材の育成に有効な取組 企業における内外の研修やOJT等 の企業の努力を通じて 25% 大学・専門学校等における専門 的な教育を通じて 43% 小中高の教育や大学の一般教養 課程における基礎教育を通じて 14% 情報セキュリティコミュニティ 等を通じた自己研鑽を通じて 0% 18% N=28 図表 2-26 その他 情報セキュリティ専門企業における情報セキュリティ人材の 育成に有効な取組 出典:(経済産業省調査(2011 年)) 加えて、情報セキュリティ人材の育成を促進する観点からは、育成にとっ て障害となっている制度を改善していくことも必要な取組である。 現在、我が国においては不正プログラムを解析する際の情報セキュリティ 目的のリバースエンジニアリングの適法性が明確ではなく、人材育成の促進 を始めとする情報セキュリティに関する研究・対策を行う上での一つの障害 となっている。 大学、公的研究機関等におけるリバースエンジニアリングによるぜい弱性 解析技術研究の下支え、公的実務機関、セキュリティ企業等によるソフトウ ェア製品の迅速なぜい弱性発見を促進していくため、情報セキュリティ目的 のリバースエンジニアリングの適法性を明確化するための取組が今後求め られる。 更には、ホワイトハッカーやエシカルハッカーと呼ばれるような、情報セ キュリティに関するハイエンド人材を質・量ともに確保し、かつ攻撃を行う 側に陥らないようにしていくためには、このような人材に対して過去にあっ たような不適切な誤解を取り除くとともに、社会的な認知を含め、適切に処 62 遇していく必要がある21。 今後の具体的な取組としては、以下の内容の実施に取りかかる。 ・①様々な分野を専攻する学生のセキュリティへの関心の拡大、②セキ ュリティに関するハイエンド人材の育成を目的に、不正プログラムの 解析方法や安全なプログラミング技術に関し、若年層に対するセキュ リティ実践教育の場を提供(例えば、IPA のセキュリティ&プログラミ ングキャンプや JPCERT/CC の若年層向けのセキュアコーディングセミ ナーの実施等) ・情報セキュリティ目的のリバースエンジニアリングの適法性を明確化 するための取組(関係省庁への働きかけ等22 23 ) なお、研究会では、今後、高等学校教育における情報系教科の必修単位数 の方針により、結果として、将来、大学に入学する学生の情報関係の学習効 果に懸念があることや、情報社会の発展にもかかわらず、それに合った情報 系教科になっていないことに関する懸念が指摘された。我が国 IT 産業の将来 の担い手となる学生の教育政策はどうあるべきか、我が国全体として早急に 議論すべきである。 21 「ハッカー」という言葉は、以下のように、悪意を持っていない意味で使われていた。 しかし、 「ハッカー」という用語が誤って理解されてきており、悪意がないことを示すため、 あえて「ホワイトハッカー」又は「エシカルハッカー」と呼ぶことがある。 「ハッカー」の意味:システム、コンピュータ、特にコンピュータネットワークの内部動 作を細かく理解することに喜びを見いだしている人。この言葉はしばしば軽蔑の意味とし て誤った使われ方をすることがある。そういう場合、クラッカーが正しい言葉である。 [インターネットエンジニアリンググループ(IETF)、ネットワーキンググループ RFC1392 における Hacker の用語説明より。本仮訳は社団法人日本ネットワークインフォ メーションセンター(JPNIC)。 ] 22 リバースエンジニアリングとは、ソフトウェアの動作を解析するなどして、製品の構造 を分析し、そこから動作原理、ソースコードなどを調査すること。 23 情報セキュリティ 2010(頁 30)より以下抜粋 イ) 安全性確保のためのソフトウェア等のリバースエンジニアリングの適法性の明確化(文 部科学省) 文化審議会著作権分科会の報告に基づき、情報セキュリティ目的のリバースエンジニア リングの適法性を明確化するための措置を速やかに講ずる。 63 4.1~3の実現に向けた工程表 1年以内に実施する項目 2~3年以内に実施する項目 個々のユーザにおける防止・軽減対策 ・経営者に対する普及啓発の実施 ・技術基準の公表・必要に応じ改定 ・経営者に対する普及啓発方法の検討 標的型サイバー攻 ・技術基準の検討 撃への対応 ユーザ・ベンダ一体の防止対策 ・情報共有のパイロットプロジェクトの実施 ・情報共有のパートナーシップの立ち上げ ・パートナーシップへの参画の拡大 ・国際的な連携 標準化活動、評価・認証制度 ・標準化戦略策定 ・海外の評価・認証機関との連携構築 ・評価ツールの設計・計画 ・基準策定、国際標準化 ・国内における評価・認証機関の設立 ・国際相互認証スキームの確立 人材育成・普及啓発 ・セキュリティのハイエンド人材の育成 ・制御システムのセキュリティに係る人材育成 制御システムの安 ・ユーザ経営者向け普及啓発 全性確保 ・テストベッド施設の運用 インシデントハンドリング 国内連携体制の構築 インシデントハンドリング体制構築 テストベッド ・テストベッド施設の構築 テストベッド施設の設計・計画 ・テストベッド施設の運用 情報セキュリティ ・経営者向けセミナーの開催 ・若年層に対する実践教育の場の提供 人材の育成 ・リバースエンジニアリングの適法性明確化の取組 ・情報セキュリティ人材の需給ギャップを明確にする取組 ・セキュリティのキャリアパスモデルの作成 は、3年以内に着手 64 第3章 研究会で指摘された他の政策分野について(第2章以外) 研究会では、第2章で説明した新しい3つの政策を中心に議論が行われたが、 以下の政策に関する指摘もあったため、その現状について説明する。 1.サイバー攻撃対応における連携 不正アクセス、フィッシング、サービス妨害攻撃24、マルウェアの配布等の サイバー攻撃に対応するためには、国境が存在しないというサイバー空間の 性質上、国際連携が重要である。我が国においては、サイバー攻撃の停止・ 拡大防止のための、国際連携を含めた取組を JPCERT コーディネーションセン ターが実施している25。また、そもそもサイバー攻撃で利用されるぜい弱性へ の対処を促進していくため、我が国では IPA 及び JPCERT コーディネーション センターが連携して早期警戒パートナーシップを運用している26。 また、このような国際連携の一環として、国境を越えて行われるサイバー 犯罪に対して締約国間が連携して取締を行っていくことを目的としたサイバ ー犯罪に関する条約27を締結するため、本年 6 月には、「情報処理の高度化等 に対処するための刑法等の一部を改正する法律」28が成立している。 2.クラウドに対応した情報セキュリティ対策(監査を含む) 国内企業の情報漏えいインシデント件数は年々増大しており、世界的にも 大規模な情報漏えい事件が増えている(図表 3-1参照)。今後、クラウド 環境に移行することにより、さらに情報漏えいが増大するのではないかと懸 念されている。 Distributed Denial of Service 攻撃(DDoS 攻撃)等 http://www.jpcert.or.jp/ir/ 26 http://www.ipa.go.jp/security/vuln/index.html http://www.jpcert.or.jp/vh/top.html 27 http://www.mofa.go.jp/mofaj/gaiko/treaty/treaty159_4.html 28 http://www.moj.go.jp/keiji1/keiji12_00025.html 24 25 65 セキュリティリスク ネットワーク 2 0 0 8 年 2 0 0 9 年 2 0 1 0 年 プロセス データ • 6月,アマゾン • 2月,Amazon S3が処 のAWSがDDoS攻撃 理容量オーバーにより数時 により,尐なくとも1 間機能停止。 時間利用停止。 • 12月,セール スフォースのDNS サービスプロバイ ダーがDDoS攻撃に よりアクセス障害が 発生。 他にも,アプリケー ションセキュリティ, 可用性,信頼性に係 る障害も多数報道さ れている。 • 4月,Vaserv.com内の ウェブサイトのデータが仮想 化技術Hyper-VMの脆弱性 を突く攻撃により消失。web サイト上の約10万のデータが 破壊,顧客約50%が影響を 受けた。 その他のリスク (BCP,制度等) • 10月,Digital Railroadが,突然オンライ ンストレージサービスの終 了を発表。24時間以内に 全ての画像データを退避 させるよう通告。 • 3月,Google Docsの, アプリケーションのバグによ り意図しない相手へのドキュ メント共有が発生。 • 4月,FBIがコアIP ネットワークス社の過去の 顧客に対する捜査を目的 として,同社のデータセン ターからサーバ等の機器 • 10月,T-Mobileの多機 を押収。サービス提供を 能携帯電話「Sidekick」用の 継続できなくなった。 サービスからユーザーデー • 7月,Google App タが消失する事故が発生。 Engineが約4時間利用不能に サーバの障害がデータ消失 なる。原因はデータストアア の原因。 クセスにおけるエラー率が高 まったこと等。 • 6月,GoogleのApp Engine for Businessにおいて は,機能停止,パフォーマン ス低下,エラーなどの問題が 続発。 図表 3-1 • 2月,Google App Engineが障害により停止。 原因はプライマリーデータ センターの電源障害。 クラウドサービス障害事例(報道ベース) 経済産業省は、クラウドサービスを安全に安心して利用するために「クラウ ドサービス利用のための情報セキュリティマネジメントガイドライン29」を策 定し、2011 年 4 月 1 日に公表した。本ガイドラインは、クラウド利用者が、 クラウドサービス利用の際に、情報セキュリティ対策の観点から活用すること を企図して策定している。本ガイドラインを利用することで、より一層のクラ ウドサービスの利用促進を目指している。 経済産業省は、このガイドラインをベースとした国際標準化案を作成し、 2010 年 10 月の ISO/IEC JTC 1 SC2730会議に提案した。同案は SC27 の WG1、WG4 合同の場で検討期間に入ることが決定し、2011 年 4 月のシンガポール会議で 議論された。クラウドセキュリティに関する標準としては我が国として初の ISO/IEC への提案であり、日本の国際貢献として評価された。 2011 年 4 月経済産業省 HP 公表。 http://www.meti.go.jp/policy/netsecurity/downloadfiles/cloud_security_guideline.pdf 30 ISO(国際標準化機構)と IEC(国際電気標準会議)の間に合同で設置されたセキュリ ティ技術に関する標準を検討する委員会(Sub Commitee) 。 29 66 経済産業省は、クラウド利用のための情報セキュリティマネジメントを行っ ていることを保証するためにクラウド利用者、クラウド事業者及び監査人に共 通する情報セキュリティ管理基準をクラウドに適用させて、第 3 者評価を満た すクラウド情報セキュリティ監査制度の検討を進めている。 クラウド利用者 利害関係者 情報セキュリティガバナンスの フレームワーク 経営陣 CISO 報告 Report クラウド事業者 利害関係者 情報セキュリティガバナンスの フレームワーク 経営陣 CISO 報告 Report 経営陣の コミットメント 監査役 評価 Evaluate 方向づけ Direct 監督 Oversee モニタリン グMonitor 経営陣のコミットメント 管理者層 監査役 評価 Evaluate コミットメントに基づく 実施をモニタリング ISMSの導入及び運用 モニタリン グMonitor 経営陣のコミットメント PDCAの進捗・達成状況 管理者層 情報セキュリティ管理 Information Security Management PDCAの進捗・達成状況 情報セキュリティ管理 Information Security Management ISMSの導入及び運用 ISMSの確立 Do 方向づけ Direct 監督 Oversee Plan ISMSの確立 Do Plan Check Act コミットメントに基づく 情報提供 ISMSの監視及び レビュー Check Act ISMSの維持及び 改善 ISMSの監視及び レビュー ISMSの維持及び 改善 情報システム クラウド関連情報システム サービス利用 図表 3-2 クラウドサービス利用における情報セキュリティガバナンス及 び情報セキュリティマネジメント 3.情報セキュリティガバナンス (1)情報セキュリティガバナンスの推進 2005 年以来、情報セキュリティガバナンス確立促進のための政策が実施さ 67 れてきており、2010 年の経済産業省のアンケート調査によると、情報セキュ リティガバナンスを理解し実践していると回答した企業は 4 割強、用語のみ知 っていると回答した企業は 8 割強という結果であり、経営者が企業戦略として 情報セキュリティ向上に取り組むためのフレームワークは着実に定着してき た。 2011 年 2 月に、経済産業省は企業グループにおけるガバナンス、リスク管 理、コンプライアンス等の諸活動の統合化、情報の集約化を目指すモデルとし て企業グループ向けに情報セキュリティガバナンスモデルを策定した。また、 経済産業省は情報セキュリティガバナンスの普及啓発を民間主導で行う取り 組みを進めている。 (2)情報セキュリティガバナンスの国際標準化の推進 2009 年 6 月に経営陣が取り組むべき行動の指針として、 「情報セキュリティ ガバナンス導入ガイダンス」が公表された。このガイダンスで示された情報 セキュリティガバナンスのフレームワークについて、2010 年 10 月に ISO/IEC SC27 国際会議のベルリン会合において、ISO/IEC2701431 3rdWD32に対する議論 が行われ、1stCD33に進むことが決定した。また、2011 年 4 月のシンガポール 会合が開催され、2011 年秋ケニア・ナイロビで開催される SC27 の会合におい て、FCD34化を決め、2013 年に最終的な国際標準化が決定される予定である。 4.サプライチェーンセキュリティ 近年サプライチェーンのグローバル化、取引構造の変化、人材の流動化な どが進展する中、製品や人を介して技術が流出するリスクへの対応は、これ までにも増して重要となってきている。また、取引先や発注先から重要な情 報が流出するというリスクが従来にも増して問題として認識されている。そ こで、サプライチェーンの情報化と保護が、近年の諸外国におけるサイバー セキュリティ政策では大きな柱となっている。 このような背景を踏まえ、サプライチェーンに対する情報セキュリティ対 策として、情報セキュリティガバナンスと情報セキュリティ監査制度の枠組 みの中で各種施策に取り組んできた。 具体的には、2009 年に情報セキュリティガバナンスの枠組みの中で、 「アウ 35 トソーシングに関する情報セキュリティ対策ガイダンス 」として、海外アウ 31 32 33 34 35 Governance of Information Security。 Working Draft(WG での草案) 。 Committee Draft(委員会草案で、ここから各国の投票の承認後、次の段階へ進める)。 Final Committee Draft(最終委員会草案) 。 2009 年 6 月経済産業省 HP 公表 68 トソーシングに関する情報セキュリティリスクを低減させるためのリスク分 析手法について取りまとめた。サプライチェーンにおける、情報セキュリテ ィ強化のための要求事項、及び委託先において守るべき情報資産の明確化、 情報資産の保護レベルの特定等、ベースラインとなる管理基準のあり方につ いて検討した。今後、本管理基準の考え方を ISO/IEC SC2736におけるサプライ チェーンについての情報セキュリティマネジメントに関する標準に反映され るように調整を行っていく。 5.製品のセキュリティ(組み込み機器を含む) 情報セキュリティ上のリスクが多様化・高度化・複雑化する今日の状況を踏 まえ、政府機関における情報システムのセキュリティ対策の一斉的な向上を図 るために、 「IT セキュリティ評価及び認証制度等に基づく認証取得製品分野リ スト」を 2011 年 4 月に決定した。各府省庁における IT 製品調達時の当該製品 分野リストの活用により、政府機関の情報システムの構成要素における適切な 情報セキュリティ対策の確保を図った。 今後、評価・認証対象となる製品のセキュリティ機能を明確にし、製品毎の PP(プロテクションプロファイル)37の整備に関する検討を経済産業省におい て進める。 なお、一部の外国では、情報セキュリティを確保することを目的としつつも、 コモン・クライテリアの精神に反する形で、外国企業が製造した IT 機器の利 用を困難にするような制度を構築している国もある。我が国としては、各国の 優れた IT 機器の利用を広く可能にすることによって情報セキュリティの向上 を図る観点から、このような制度の是正に取り組んできた。今後も、関係国と 連携した取組を推進する。 6.暗号アルゴリズムのセキュリティ 暗号アルゴリズム開発及び標準化については、国家の安全保障及び経済的利 益の観点から、米国では国立標準技術研究所(NIST38)、欧州では欧州連合推 奨暗号プロジェクト(NESSIE39)において自国の暗号アルゴリズムの国際標準 化を推進しており、暗号アルゴリズムのセキュリティ評価においても同様の観 http://www.meti.go.jp/policy/netsecurity/downloadfiles/outsourcing_guidelines.pdf ISO(国際標準化機構)と IEC(国際電気標準会議)の間に合同で設置されたセキュリ ティ技術に関する標準を検討する委員会(Sub Commitee) 。 37 Protection Profile (PP) :特定の分野の製品について必要とされる典型的なセキュリティ 要件、環境などを記述した要求仕様書。 38 National Institute of Standards and Technology 39 New European Schemes for Signature, Integrity, and Encryption 36 69 点から強力に推し進めている現状にある。2010 年 10 月の ISO/IEC JTC1 SC27 会議では、「暗号アルゴリズム標準化のための基準」を設定し暗号アルゴリズ ムの選択方針について検討することが決定された。 一方、我が国では有識者で構成する暗号技術検討会(CRYPTREC40)が電子政 府推奨暗号の安全性を監視・評価し、暗号技術の適切な実装法・運用法を調査 し、電子政府推奨暗号リストの公表等、暗号技術に係る安全性情報を提供して きたが、上述の世界の動きを見据えた暗号政策が求められている。 電子政府推奨暗号リストに関しては、「SHA-1」及び「RSA1024」等の国内外 から危殆化が懸念されている暗号アルゴリズムに対し、検討会が適切に対応し ていくとともに、既存・新提案暗号アルゴリズムの技術評価により、国内外の 検討状況を多角的に踏まえた改訂を行っていく。 40 Cryptography Research and Evaluation Committees 70 第4章 情報セキュリティ政策の今後の展望 情報セキュリティ政策は、政府全体では、内閣官房情報セキュリティセンタ ー(NISC)を司令塔とし、各種基本計画の策定や基本戦略の策定等を行うとと もに、各省庁及び関係機関による情報セキュリティ対策の実行を通じ、政府機 関、重要インフラ、企業、個人における情報セキュリティの向上に寄与してき た。こうした対策を通じ、我が国のマルウェア感染率は世界平均の約 1/3 とい う低水準、ウェブサイトの危険度ランキングでも低順位にあり、セキュアな環 境が実現されている(図表 4-1、図表 4-2参照)。 マルウェア感染率 日本: 3.3 米国:11.6 英国: 8.7 韓国:40.3 世界: 8.7 日本のマルウェア感染 率は世界的にも低水準。 図表 4-1 世界のマルウェア感染率(2010 年下期) 出典:マイクロソフト社「セキュリティインテリジェンスレポート」 ドメイン 1 3 商用 (.co m) ベトナム(.vn) リスク率 3 1.3% 29.4% 14 米国 (.us) 6.0% 15 中国 (.cn) 4.8 % 38 韓国 (.kr) 1.1% 49 英国 (.uk) 0.7% 1 04 日本 (.jp) 0.1 % 図表 4-2 ウェブサイト(ドメイン別)危険度ランキング 出典:マカフィー社「危険な Web サイトの世界分布 2010」 他方、東日本大震災における情報システムの停止やデータの損失等我が国に 71 おける情報セキュリティ政策を考える上での大きな事象変化も起きている。ま た、IOT41化やクラウドの進展等に伴い、社会、生活、人間行動、企業行動等 がデジタル化され、ネットワークを通じて瞬時に国境を越えた情報流通がなさ れる時代が到来している。 図表 4-3 IOT化の進展に伴う世界の情報量 出典:喜連川優 東京大学生産技術研究所 教授 こうした中、情報セキュリティ政策の今後の展望について提示する。 1.東日本大震災を踏まえた情報セキュリティ政策 東日本大震災により、我が国企業を支える IT の重要性が改めて認識された。 情報システムの停止やデータの喪失等が事業継続に極めて深刻な影響を及ぼす ことは従来から指摘されていたが、その脅威が今般の大震災により、顕在化し た。我が国企業が厳しい現況を乗り越え、新たな成長を遂げるためには、これ まで以上に IT の効果的な利活用を実践するとともに、IT の利活用に内在する企 業リスクを組織として適切に管理する取組みが求められる。 このため、企業における情報セキュリティ問題のリスク、対策による効果等 の定量化に向けた検討を含め、大規模な自然災害などの想定外の脅威に対して 適切なリスクマネジメントを実施するための取組を推進する。 41 IOT(Internet Of Things)「モノのインターネット」 デジタルコンテンツだけでなく、 世界のあらゆる情報がデジタル化されインターネットを通じて広く流通する世界。 72 また、原子力安全制御と同様、情報セキュリティは専門性が高い分野である。 セキュリティ事故が発生した後、対策を検討するのでは、対応が後手に回る可 能性がある。今回の東日本大震災は、どのようにフレキシブルで迅速に対応で きる動的体制を事前に整えておくのか、また、事前の想定範囲をどうするのか という大きな課題を投げかけている。今後、特に重要インフラについては、シ ステム停止等にフレキシブルかつ迅速に対応可能な体制の構築を検討する。 2.コア技術42の開発及びコア技術を開発できる人材の育成 IT の安全確保は、産業の発展に必要となる IT の利活用を下支えするもので ある。そして、安全確保の基盤となるセキュリティのコア技術について、我が 国では海外からの調達に依存しており、国内発の技術が尐ないと研究会で指摘 された。コア技術の開発は、グローバル市場における IT 製品、システムの競 争優位を築くとともに、翻って我が国における IT の安全確保の向上にも寄与 することとなる。 また、我が国でコア技術を開発していくためには、開発可能な人材の育成が 必要となる一方、人材の育成については、10 年、15 年の将来を見据えた教育 政策が重要である。 今後、セキュリティ人材の育成の検討に当たっては、長期的な視野に立った 教育政策及び、こうした人材に裏打ちされたコア技術の開発が必要である。 42「コア技術」とは、ここでは、 「競合他社と比較し、持続的に競争優位を築くための核と なるような、一連の技術あるいは技術体系であって、当該技術を利用した製品・サービス が実用化され、高い技術力が業界内や顧客等他者から評価されているもの」とする。 73 参考資料 1.これまでの情報セキュリティ政策 (1)これまでの情報セキュリティ政策について(政府全体) (2)これまでの情報セキュリティ政策について(当省関係) ウ イ ル ス 対 策 等 [ 未 然 防 止 ] (1996年8月)コンピュータ不正アクセス対 策基準策定(不正アクセス届出制度開始) (1990年4月)コンピュータウイルス対 策基準策定(ウイルス届出制度開始) ウイルス・不正アクセスに関する届出制度の開始。告示によりIPAを届出窓口とし て指定。IPAは、これらの届出情報等による情報収集を基に、国民全体への注意 喚起や対策情報の公表を実施。 [ 事 後 対 応 ] 総務省と共同で、ボットプログラムの収集、注 意喚起、ウイルス対策ベンダーへの検体提 供、駆除ツールの開発・提供を実施。 (2006年4月)CHECK PC 開始 (2008年4月)中小企業向け指導者 育成セミナー開始 インターネット初心者等を対象とした情 報セキュリティの基礎知識を学習できる セミナーを開催。 安心してITを利用するための意識及 び知識の向上を図るため、経済産業省 は一般のインターネット利用者を対象に 情報セキュリティ対策強化キャンペーン 「CHECK PC !」を実施。 中小企業の経営者や情報システム管 理者等を指導する、指導者を育成。 (2003年4月)情報セキュリティ監査制 度創設 (2009年6月)情報セキュリティガバ ナンス導入ガイダンス策定 組織のマネジメントとして、自らのリス クアセスメントに必要なセキュリティポリ シーを持ち、PDCAサイクルの運用。こ れを国際標準(ISO/IEC 27001等) に則した第三者機関による認証。 個々の企業に即した対策を推進する ため、独立した専門家が組織のセキュリ ティ対策を客観的に定められた基準に 基づき監査する制度。 適正な情報セキュリティガバナンスを 確立するために、経営陣が行うべき役 割と効果について提示。 (2003年10月)IT製品の安全性評 価・認証の枠組み(CCRA)へ加盟 (2005年4月)新世代情報セキュリ ティ研究開発事業開始 電子署名の円滑な利用を確保するた めの法律。同法に基づき、電子署名に 関する相談業務やセミナー等を実施。 IT製品の安全性を評価・認証する国際 的枠組み(CCRA)へ参加。 新たな脅威に対応するために必要な対 処療法的でない抜本的な研究開発を実 施。 (2000年5月)CRYPTREC発足 (2003年2月)電子政府推奨暗号リスト 公表 電子政府推奨暗号の安全性を評価・ 監視し、暗号技術の適切な実装法・運用 法を調査・検討するプロジェクト。 (2006年4月)ボット対策事業開始 (2003年4月)インターネット安全教室 開始 (2002年4月)ISMS適合性評価制度 の創設 (2001年4月)電子署名及び認証業 務に関する法律施行 技 術 的 対 策 ソフトウェア製品等のぜい弱性情報の届出 制度の開始。告示により届出窓口をIPA、主 に国際間の調整窓口をJPCERT/CCに指定。 届けられた情報に基づき、製品開発者等と 製品修正、修正版の公表等の調整を実施。 (1996年10月)JPCERT/CC発足 (インシデント対応開始) ウイルス・不正アクセスによる攻撃が あった場合に、主に、国際間の同様の機 関と緊急的調整を行い、攻撃元の通信の 遮断等を実施。 普 及 啓 発 組 織 的 対 策 (2004年7月)ソフトウェア等脆弱性関連 情報取扱基準策定(脆弱性届出制度開始) 政府が情報システムで利用する暗号 方式を掲載したリストを策定。 74 (2011年4月)クラウドサービス利用のため の情報セキュリティマネジメントガイドライン 本ガイドラインを情報セキュリティ管 理・監査に活用することにより、クラウド 利用者とクラウド事業者における信頼関 係の強化に役立てることを目的に策定。 (策定中)次期電子政府推奨暗号リストの策定 情報セキュリティ政策会議の決定により、2014年度 以降においても、当面、安全と考えられる暗号アルゴリ ズムへ2013年度末までに移行できるよう、情報システ ムの整備、更新に取り組む。 2.標的型サイバー攻撃への対応 (1)欧州における標的型攻撃の状況 (2)セキュリティ侵害による知的財産流出の被害額 75 (1)日本国内の標的型攻撃の実態 (2)標的型攻撃メールの攻撃手法 (IPAに 2008 年4月~2011 年6月の間に届けられたもの。(7)まで同じ) 攻撃手法の種別 4% ZIP(EXE) 5% PDF MS WORD 8% EXCEL 3% LZH(EXE) 38% 5% 添 付 フ ァ イ ル その他 不明 ウェブ感染型 (注) 9% 28% (注)メールに記載したURLのウェブサイトに誘導しウイルスに感染させる手法 76 (3)標的型攻撃メール送信者の騙る主体の属性 メール送信者の騙る主体の属性 官公庁 独立行政法人 民間企業 27% 49% その他 11% 13% (4)標的型攻撃メール送信先の主体の属性 メール送信先の主体の属性 4% 民間企業 3% 独立行政法人 6% 個人 12% 官公庁 35% 公的project 財団 15% その他 25% 77 (5)標的型攻撃メール発信IPアドレスの国別内訳 メール発信元IPアドレスの国別の割合 中国 韓国 31% 35% 日本 台湾 米国 13% 3% コロンビア 不明 5% 5% 8% (6) (詐称された)送信元メールアドレスのドメイン 送信元メールアドレスのドメイン 8% go.jp 3% 企業 団体・政党 13% 50% フリーメール ISP 13% 不明 13% 78 (7)標的型攻撃に悪用されたぜい弱性があったソフトウェア 標的型攻撃に悪用された脆弱性があったソフトウェア 3% 6% Adobe Reader 8% MS WORD Flash Player LibTIFF 47% 17% Internet Explorer EXCEL 19% (8)テーマの傾向、主要な時事案件との関係① 分類 割合 テーマ事例 イベント 38% 国際会議、シンポジウム、研修会、選挙、法令改正、 VIP会合日程、役員人事異動、来訪者情報、社内ウイルス調査 報告書 32% 外交機密文書、国際情勢、海外資源、政府部局報告書、 情報セキュリティ調査、ウイルス・不正アクセス届出状況、 会議資料 ニュース ・ 注意喚起 30% 東日本震災、金融情勢、国際情勢、外交情報、政府予算、 製品事故、情報セキュリティ注意喚起、新型インフルエンザ 79 (9)テーマの傾向、主要な時事案件との関係② 分類 割合 テーマ事例 国際 39% VIP会合日程、外交機密文書、国際情勢、国際会議、海外資源 社会 33% 東日本震災、政府予算、新型インフルエンザ、製品事故、 情報流出事故、情報セキュリティ注意喚起、情報セキュリティ調査 政治 15% 選挙、法改正、政府公表資料 経済 8% 金融情勢、経済関連法改定、経済外交、経済成長戦略 国内 5% 法人実態調査、高官日程 芸能 0% (10)テーマの傾向、主要な時事案件との関係③ 分類 割合 テーマ事例 関係者 限定情報 53% 選挙、演説原稿、法令改定、外交情報、 法人実態調査、海外資源、来訪者情報、 VIP会合日程、国際会議、政府部局報告書、情報流出事故 公開情報 38% 東日本震災、新型インフルエンザ、 情報セキュリティ注意喚起、情報セキュリティ調査報告、 国際情勢、シンポジウム、金融情勢、経済外交、 政府予算、製品事故、経済成長戦略 組織内限定 9% 不審メールの注意喚起、社内ウイルス調査、 組織内業務連絡、役員人事異動 80 (11)標的型サイバー攻撃に関するアンケートの概要① (12)標的型サイバー攻撃に関するアンケートの概要② 81 (13)標的型サイバー攻撃に関するアンケートの概要③ (14)標的型サイバー攻撃に関するアンケートの概要④ 82 3.制御システムの安全性確保 (1)制御システムのぜい弱性 (2)制御システムの安全性評価に関する各国比較 83 (3)我が国の制御システムの情報セキュリティ上の脅威<各種製造装置> (4)我が国の制御システムの情報セキュリティ上の脅威に関する動向<プラ ント設備> 84 (5)制御システムの安全性確保に関するアンケート概要① (6)制御システムの安全性確保に関するアンケート概要② 85 (7)制御システムの安全性確保に関するアンケート概要③ (8)各社ヒアリング結果① 制御システムにおける脅威について 制御システムにスタックスネットウイルスが侵入し、装置にストレスを加え、制御システム全体 を破壊させてしまう。 制御ネットワークと情報ネットワークがつながっているので、一旦、ウイルスが侵入すると制 御システム全体に蔓延してしまう。 制御システムの監視制御サーバにはウイルス対策ソフトの最新のパッチをすぐにアップデー トできないので、ウイルスに感染する度合いが高くなる。 安全対策と比べるとセキュリティ対策の認識が低く、被害を受けた時に損害数値を出す方法 がわからない。 製造現場責任者と情報システム部門責任者間の相互理解に欠ける。制御システム責任者が 、制御システムセキュリティを知らない。 民間部門においては、セキュリティポリシーを策定しているが、制御システムはその中に入っ ていない。民間部門に比べ、地方公共団体など公共分野(上下水道、ゴミ焼却場等)におい ては、一般のITの情報セキュリティポリシーが、民間企業の目線で見ると「無い」に等しい状 況で、制御システムにおいて脆弱な箇所が多々あり、非常にリスクが高い状態。 地方自治体などのユーザに対するガイドラインが必要。国などのしかるべき機関がオーソラ イズしないことには、制御システムにおける情報セキュリティ対策が入り口で止まったままとな り進まない。 86 (9)各社ヒアリング結果② 国際標準化に対するニーズ 制御システムの情報セキュリティの基準として、準拠すべき標準がなくて困っている。IECが早 期に制定されることと、その国内展開を期待している。 標準は1つに決めてもらわないと実際 上困る。 システム全体を見る時には、機器レベルの認証は必ずしも有効ではなく、海外輸出時点で、 全システムを組み合わせてのテストが出来ない場合も多々あり。国際規格対応におけるコス ト負担の低減につながる政策をお願いしたい。 日本の産業を底辺でささえる中小企業に適用できる規格や設備が必要。制御システムを動 かす“人”の安全性(安全な動作ができる人)という方向を考える事も必要。 弊社は制御装置のハードは製造していないが、海外制御装置のハードを購入し、ソフトウエ アロジックを組み込み製品として仕上げ、海外の顧客に納入し、試運転までが加入範囲とな る。制御装置のハードもコスト、顧客要望、納入国状況により色々と替わり、また適応海外規 格も異なる場合があり対応に苦慮。 製品自体のセキュリティ、製品生産環境のセキュリティ、開発環境のセキュリティ等、製品の ライフサイクル全体でのセキュリティ対策に取り組む必要があり、検討すべき課題が多く、か なりの設備投資も必要であると感じている。また、日々進歩が著しい分野であり、明確な規格 ・基準が定められない状況と理解しており、安全性の証明に対する壁の高さを感じている。 欧米にイニシアティブを取られぬよう国際規格化への参画は日本として必要と思われる。制 御システムはサーバ、多くのコントローラの組み合わさったシステムであり、システムとして保 証する仕組みが必要である。 (10)各社ヒアリング結果③ 評価・認証スキームに対するニーズ 日本が先行している規格はないので、ISA99やIEC62443の統合の動きに合わせた相互認証 が必要なのではないか。 国際規格及び規格への適合への対処は、第三者認証機関への確認と折衝が必要になってく る。その際に多くの第三者認証機関はドイツや米国からエンジニアが日本に審査がくることか ら、コスト的にも、時間的にも、コミュニケーション的にも課題が多い。もし、欧米の相互認証 機関が国内にあり、日本で日本語の対処があれば、効率、工数が改善でき、生産性を向上で きる。書類審査だけで他国の認証取得ができるならばJISへの適合、普及にもつながる。 産業用でなくとも民生器においてもネットワークへ常時接続されることで成り立っている製品・ サービスが多く、またそれは全世界中での傾向であるため、ソフトウェア(組込)におけるセキ ュリティ施策の必要性を強く感じる。オープンな検証組織があればよい一方で、継続的な保証 をいかにしていくかが課題かもしれない。 制御製品をテストするところが国内に無い。大規模なテストプラントは、作って完成した時は 既に過去の旧型となるため、投資費用の無駄。シミュレーションを工夫して対応するべき。 制御システム製品を使って、制御システムセキュリティ試験を実施するにも、高い渡航滞在費 用と試験料を払って海外で行うのが現状。国内で同レベルの認証が得られる機関があって欲 しい。また、試験ツールの開発も国内特有の制御仕様がある業界については、行うべきだ。 米国には、インテグレーション評価テストが出来る機関があるが、国内の政府系組織にはテ ストできる能力がない。 87 (11)各社ヒアリング結果④ 人材育成、ユーザ企業への普及啓発、インシデントレスポンス体制構築に対するニーズ インシデントが起きれば初期コストの何倍もの費用を投じざるを得ないのだから、セキュリティ はコストをかけて、前もって「作り込む」ものだと考える。こういった意識を根付かせることが大 事。 セキュリティ対策を施すと従来よりも製品コストが高くなると考えているが、ユーザーにこれを 納得してもらえるか不安。また海外市場で海外メーカーとコスト勝負している所もあるので、そ の面(コストアップ)でも不安。 ユーザでセキュリティ事故が発生した場合の、情報共有の仕組み作りが必要。会社名など情 報を匿名にする仕組み等があれば、安心できる。事故の詳細情報が手に入れば、メーカも予 防や対策に協力できる。 海外のユーザ、特に欧米の大手ユーザは、制御システムセキュリティサービスに対して有償 扱いしてくれる。国内ユーザは、制御システムセキュリティサービスにお金をかける考えその ものが無い。だから、国内ユーザに制御システムセキュリティサービスの案内はしてこなかっ た。 車載システムとしてはサイバーセキュリティはこれからの課題。今後、車載LANとして EthernetやTCP/IPが使われる可能性が高く、そうなった時には、IT的なセキュリティの問題が 車の安全(セーフティ)にかかわってくる。 (12)制御システムセキュリティの国際標準化動向 IEC62443-2-1:2010(E)が2010年11月に制定され公表 – 制御システム(IACS: industrial automation and control systems)のためのサイバ ーセキュリティ管理システム(CSMS:cyber security management system)の確立 に必要な要素(ポリシー、手続き、実施、手順、要員)を定義し、それらの要素を 策定するためのガイダンスを提供 – 基本的にはANSI/ISA 99.02-2009と同じ内容で、以前のIEC62443-2/Ed.1に相当 ISA-99(国際計測制御学会:International Society of Automa tion)の動向 – Common • IEC/TS 62443-1-1(Published)、IEC/TR 62443-1-2(in progress)、IEC 62443-1-3(in progress) – Security Program • IEC 62443-2-1(Published)、IEC 62443-2-2、IEC 62443-2-3(in progress) – Technical System • IEC/TR 62443-3-1(Published)、IEC 62443-3-2(in progress)、IEC 62443-3-3、IEC 62443-3-4(Comment/Vote) – Technical Component • IEC 62443-4-1(in progress)、IEC 62443-4-2(in progress)、IEC 62443-4-3(in progress)、IEC 62443-4-4(in progress) 88 (13)制御システムの認証に関する動向 (14)テストベッド参考:アイダホ国立研究所(INL) 89 (15)テストベッド参考:Control System Security Program(CSSP) (16)テストベッド参考:National SCADA Test Bed(NSTB) 90 (17)テストベッド参考:SCNI SCADA Testbed (JRC-IPSC EU) (18)テストベッド参考:Safeguard SCADA Testing Facility(ENEA イタリ ア) 91 (19)セキュリティ認証参考:MUSIC (Mu Secure Industrial Control) Certification (20)セキュリティ認証参考:Achilles Certification 92 (21)セキュリティ認証参考:ISCI (ISA Security Compliance Institute) (22)セキュリティ認証参考:Trusted Site Security SCADA Infrastructure (ドイツ TUViT 社) 93 4.情報セキュリティ人材の育成 (1)我が国における人材育成に係る課題 (2)新たな脅威と対応するための人材、産業との関係 94 (3)海外におけるセキュリティ人材育成の現状 (4)セキュリティスキルと資格制度の現状 95 (5)IT 人材とセキュリティ① (6)IT 人材とセキュリティ② 96 (7)IT 人材とセキュリティ③ (8)IT 人材とセキュリティ④ 97 (9)IT 人材とセキュリティ⑤ (10)セキュリティスキルと資格制度の現状 98 (11)情報セキュリティ資格保有者の推移 (12)セキュリティ&プログラミングキャンプの概要 99 (13)セキュリティ&プログラミングキャンプの参加者の推移 (14)セキュリティ&プログラミングキャンプ2010① 100 (15)セキュリティ&プログラミングキャンプ2010② (16)世界主要国の産業政策、技術開発、人材政策概要 101 (17)人材育成の現状及び課題に関するヒアリング (17)―1 人材育成の現状及び課題 大学 企業が欲している人材にも3つか4つの階層あり。企業の足腰となる ような人材は専門学校から輩出され、先進的な研究を行う人材はトップ レベルの大学から輩出。これらの教育機関はそもそもカリキュラムが全 く異なっている。 一時期経済団体が即戦力を輩出するように大学に求めていたが、大学 はそのための機関ではない。最近大学は基礎力を持った人間の輩出を謳 っている。 最近「ICT の水・空気」化を懸念。工学部の学生ですら自ら IT 環境を 構築しなくなっている。 政府に期待される取組は、①セキュリティを含む IT に関する資格の 整理、②国家全体としてのビジョンを示す、ということが考えられる。 また、日本のセキュリティ産業界の人材像はやはりセキュリティサービ スを提供する側の人材像。利用側の求める人材像がない。 IT ユーザ企業 ホワイトハッカーが何に寄与するのか経営者に説明するのが困難で あり、仮に雇用したとしても扱いきれない。 マルウェアの解析やフォレンジックについては、専門会社へ委託する 方が効率的。 インシデントへの初動対処や顧客への対応等事故対応は外部へ委託 できないのでそれができる人材の需要がある。 また、人間の行動分析に関する知見がある人材が必要。 サイバー攻撃解析の専門家(現状認識その1) 「ホワイトハッカー」的な人材に関する需要はあり、自社で行う技術 的なコンテストに一般からも参加者を募り、成績優秀な人材を積極的に 採用している。 日本企業ではサイバー攻撃解析の専門家に関する需要が低く、大量雇 用は困難ではないかと考えている。 高い技能を持ったセキュリティ専門家に関しては、全体として一時期 より供給が増加。 102 大学の IT 教育ではウェブ構築系が人気がり、セキュリティは人気が ない。セキュリティは解析が中心で成果物につながらず、また後ろめた さを感じることも理由ではないか。 採用に関しては、中途採用がほとんどだが、最近になって新卒採用も 開始。中途採用はヘッドハンティングを行う場合もあるが、自ら売り込 んでくる人がいる。新卒採用においては、意欲とプログラマーとしての 能力を重視。 サイバー攻撃解析の専門家(現状認識その2) 人材育成の効果を最大化するためには一番経済的なメリットが大き い産業化できる基礎研究を行う人材育成を行うことが適切。セキュリテ ィ業界が活性化するためには人を集めて技術を開発していく方向にセ キュリティ業界自体が変わっていく必要がある。 セキュリティ関連の人材を増やすにはセキュリティビジネスの活性 化が一番重要。 現在大学の情報科学系のコースは専門学校のような教育を行ってお り、企業にとっての SE のような専門職のような人材を輩出している。 それでは IT に関する基本的な理解を身につけることができず、高度な セキュリティ人材にはなれない。 サイバー攻撃解析の専門家(人材育成に関する課題その1) 昔は解析者が好奇心と探究心を持って調査していくうちに専門能力 を高めてきたのに対し、今後は組織の中で育成していかなければならず、 今後はそこに困難が生じるのではないか。 大学との関係に関しては、学会とは壁があり、どのような研究が行わ れているのか等の情報もないこともあり、学会発表等にもなかなか近づ けない。 日本には、リバースエンジニアリングに関して著作権法上の制約があ り、解析に関する意見交換を公に行うことは困難。 職業一般に言えることだが、高度なセキュリティ人材が増えないのは、 社会人になる前に IT 関連の職業、セキュリティ関連の職業に触れるこ とがないことが原因ではないか。 サイバー攻撃解析の専門家(人材育成に関する課題その2) 日本の人材には世界にはないスキルを持っている人間はいるが、それ を製品に結びつけることができず、外国にうまく売り出すことができて いない。語学の力も重要。外国のコンテストで注目されても、メールな 103 どが来てもフォローが出来ていない。また日本人の若者には貪欲さも不 足。(韓国人では講演のあと質問責めにあうなど若者は非常に貪欲。) 人材育成のためには、(情報セキュリティ目的のリバースエンジニア リングについて)法的に認められていることと認められないことの明確 化が必要。法律の解釈は誰も読まないので、法律に明記することが必要。 セキュリティ人材正規の職業でしっかりと生活をしていけることが 必要。たとえば、IT 系の犯罪の鑑定を行うような仕事があれば、キャリ アパスにもなっていいかもしれない。 セキュリティ人材を更に増やしていくためには興味がない人に興味 を持たせるような取組が必要になってくるのではないかと考えている。 また、セキュリティ職に対するイメージを変え、地位を向上していく必 要がある。 低年齢層に対する働きかけが有効だと思うが、セキュリティ技術が悪 用されないよう、カリキュラムに気をつけて倫理面もしっかりと教育し ていく必要がある。 サイバー攻撃解析の専門家(ハッカーコンテスト関連) ハッカーコンテストのようなものがあると業界に活力が出る。ハッカ ーはハッカーによる賞賛しか嬉しくないので、なおさら意味がある。 海外の有名なハッカーコンテストのように憧れになるようなイベン トがあると良い。他方、ただの名誉や賞金ではなく、そこから就職につ ながっていくほうが動機付けになる。 海外ではハッカーコンテストが開催されているが、日本でもコンテス トでの活躍が社会一般における地位向上や雇用にもつながれば、ホワイ トハッカーになるインセンティブが向上するもしれない。 サイバー攻撃解析の専門家(資格関連) 人材の資格に関しては、実務経験のない学生でも資格取得できること は資格としての質を落としてしまい、社会人としてはそのような試験を 受ける気をなくすのではないか。 セキュリティに関する認定に関しては、ハイエンドの人材や企業に対 する認定がないので、結局質よりも値段でビジネスが決まってしまい、 専門性が高いことがビジネス上有利に働かないことが問題。 セキュリティ能力に関する資格に関しては、現在適切なものが無いと 考えている。更新や実務経験を条件にし、適切に能力を示すことができ 104 る資格等があれば、ビジネス上でもセキュリティの質の高さが評価され るようになると思う。 セキュリティイベント開催者(その1) 日本でのハッカー関連のイベントを継続できなくなったのは、企業に おけるセキュリティの優先順位が低く、リーマンショックで景気が悪く なってセキュリティにかける予算が削減された結果、企業からの参加者 が減ったため。 セキュリティ関連のイベントはセキュリティ業界の活性化に貢献し ているが、イベント単体では採算が取れないため、開催者が全体に利益 があることを認識していても実施することが困難になっている。 まずは、高度なセキュリティ関連のイベントに政府のお墨付きだけで もあれば、イベントに対する企業の見方が変わるだろう。また、日本独 自の特色を持った、あるいは日本発の発信性を持ったイベントを、政府 が支援することが望まれる。 海外のハッカーコンテストは開催国の政府のみならず、企業による採 用にもつながっており、結果として多くの参加者が集まっている。 セキュリティイベント開催者(その2) 日本のセキュリティ企業も小規模ながらハッカーコンテストを開催 して人材を選抜しはじめている。 セキュリティの分野は非常に広範で、また、現在のセキュリティ業界 には明確なキャリアパスがないことから、セキュリティ分野における就 職に関するイメージがなかなかわきづらいのではないか。 世界のセキュリティ業界には何人かカリスマがいるが、日本人のカリ スマが生まれればセキュリティ業界も更に盛り上がるのではないか。 企業は①収入を増やす、②コストを減らす、③リスクを減らす、のい ずれかを事業に望んでいるが、セキュリティに関するコンサルティング を行っている経験からして、景気が悪くなると③のリスクを減らす役割 を担っているセキュリティに関して人材を含めた予算を減らしている。 (17)―2 人材育成方法に関する意見 大学 人材育成に関する学会での議論はあまり広がりを見せていない。 105 企業で使える ICT に関する人材が不足していることへの危機感から、 技術者育成のための協議会を立ち上げた。同協議会では、企業と学生の マッチングを行っていきたい。 同協議会ではまだセキュリティの WG はなく、セキュリティの団体と の連携は検討可能。 サイバーセキュリティ関連のジャーナリスト 韓国では学生のコミュニティ活動が盛んであり、セキュリティに関す るコミュニティも自然発生的にできている。コミュニティ活動を通じて 縦のつながりが形成され、セキュリティ業界内の就職につながっている。 サイバー攻撃解析専門家(その1) 海外進出に関して、不正プログラムか否かの取扱いに関する外国での 法的な制約が分からないこともあり、現時点では予定はない。そのよう な情報があれば海外進出も促進されるのではないかと思う。政府からの 情報提供を期待。 IPA のセキュリティキャンプに過去に参加したことがあるが、講師の スキルレベルが非常に高く、参考になった。 自社では中学生を社会見学として受け入れ、職業としてのセキュリテ ィについて関心を高めてもらうための取組も行っている。 現在の日本の IT ビジネスは顧客のニーズのうちから対応できるもの を拾って実施していく形になっているが、イノベーションを利用したも のになっていない。自社としては技術に特化したビジネスとして R&D を 積極的に行っていく考え。 サイバー攻撃解析専門家(その2) 基礎技術の研究開発は思いの外ハードルが低いので、日本の技術者で も十分国際的に戦っていけると考えている。 自社では研究開発部門では就業時間の数十%は自由な研究に利用で きる。 情報セキュリティの学術研究に関しては、日本では暗号が主になって いる印象があり、民間分野との交流もあまりない印象がある。目に見え る身近な生活に近い研究が良いのではないか。 ホワイトハッカーの能力だけでは収入の増加にはつながらないため、 ホワイトハッカーになるインセンティブが低くなる。 米国における R&D の経験では、米国の発注者から的確かつ厳格な指導 を受け、その結果として市場のニーズにマッチした製品を作ることがで 106 きた。日本でも発注者がハードルをあげることが製品向上につながるは ず。 (18)米国におけるハッキングコンテスト DEFCON(デフコン) (1)1993 年より毎年ラスベガスで開催されている世界で最も有名なイベ ント。セキュリティの専門家、ジャーナリスト、政府関係者、ハッカー 等が世界中から集まり、ハッキング関連の講演、ハッキング・コンテス ト等が行われる。 (2)ハッキング関連技術を競う大会がいくつか行われている。 (注)昨年、システムのセキュリティホール発見部門で日本人(個人)が 優勝 (3)その中でも Capture The Flag(CTF)と呼ばれる大会(それぞれネット ワーク環境を与えられ、自チームの環境を他のチームからの攻撃から防 御しつつ、他チームを攻撃する。)が有名。CTF では、インターネット 上で行われる予選を勝ち抜いた 10 チームが本戦に参加。 米国大学サイバーディフェンス大会 (1)米国の大学生を対象に、企業のネットワークを防御するための能力を 試すことを目的に開催されている大会。 (2)産学官の発意によって 2005 年より開催されており、2010 年大会では 国土安全保障省、マイクロソフト社、ボーイング社、マカフィー社等を 始めとする組織の支援を受けて開催されている。 (3)大会は米国の地域予選から始まり、予選を勝ち抜いたチームによる三 日間の本戦が行われる。 (4)学生は、中小企業を想定した 50 名程度のユーザ、7-10 台のサーバか ら構成される環境を与えられ、「企業内のビジネスニーズに応えながら 外部から攻撃に対応する」という仮想状況における対応能力を競う。 (19)韓国等におけるハッキングコンテスト Codegate(コードゲート) (1)セキュリティに関する講演、ハッキングコンテスト、採用・求職活動 を組み合わせた複合イベント。昨年はハッキング大会と講演をそれぞれ 一日行った二日間にわたって行われた。 107 (2)2004 年にハッカーの育成を目的に韓国インターネットセキュリティ 庁(KISA)が開催したのをきっかけに、現在は韓国政府の知識経済部、 放送通信委員会、KISA 等の協力によって行われている。 (3)Codegate で行われるハッキング大会には海外からの有力チームが招 聘され、成績優秀者には賞金も提供されている。 欧州等におけるハッキングコンテストの例 – フランス(FR Hack)、ベルギー(ブルーコン)、ドイツ(カオスコンピ ュータコングレス)、台湾(政府の教育担当部局による学生向けコンテ スト) 108 5.その他 (1)米国における情報漏えいの現状 (2)我が国企業における故意による情報漏えいの例 109 (3)サイバーセキュリティに関する脅威と対策技術及び基礎技術 (4)世界の情報セキュリティ政策の取組状況(未然防止(早期警戒含む)) 日本 欧州 ・経産省、総務省が連携し、個人ユーザのボット感染を駆除・防止 するための事業(サイバークリーンセンター)を2006年より実施。 ・ソフトウェア等の脆弱性に対応するための情報セキュリティ早期 警戒パートナーシップの運用。 ・脆弱性情報を共有するためのプラットフォームとして、IPAより脆 弱性対策情報データベースJVNiPediaを2007年4月より提供。 ・個人ユーザ、中小企業に対し、情報セキュリティ関連の早期 警戒情報を提供するためのネットワークに関する調査研究を 実施。 米国 中国 ・工業信息化部の下部組織のCNCERT/CCが、中 国本土の31省に支部を設置し、情報セキュリティに 関する施策(ウィルス、ワーム、ウェブ改ざん、ボット 等の監視他)に取り組んでいる。 ・中国における脆弱性情報を共有するためのプラット フォームとしてCNVD (China National Vulnerability Database) プロジェクトを実施中。 韓国 ・ 韓国放送通信委員会(KCC)傘下のKrCERT/CCが、情報セ キュリティに関する施策に取り組んでいる。各種取り組みについて は以下の通り:①ネットワークモニタリング、②DDoSモニタリング システム③韓国のウェブサイト上でのマルウェア配布状況の監視、 ④ボット感染率の低下に向けたC&Cサーバーの監視。 110 ・国土安全保障省(DHS):①US-CERTの 人員補強。②情報セキュリティに関する監視 網を政府全体に拡大。③情報及び通信製品 に関するリスクを低減するため、連邦政府の 調達過程における対応の検討。④国家イン フラ保護計画に基づく重要インフラと連邦政 府間の調整・情報共有の促進。⑤サイバー 演習Cyber Storm3を主催(2010/9) ・国家安全保障局(NSA):情報通信インフ ラ政府間政策委員会の設立を承認(2009 年3月)。 ・国防省:①国防省内のネットワーク運営・防 護の調整を行うためのUSCYBERCOMの 構築、②DHSとの協調強化、③サイバー関 連の情報を外国の軍事パートナーと共有。 (5)世界の情報セキュリティ政策の取組状況(事後対処) 日本 欧州 ・大規模サイバー攻撃事態への対処態勢の整備。 ・国境を越えたサイバー攻撃に対応できるよう、ASEAN各国 やアフリカにおける対応能力の向上のための取組を実施。 ・欧州域内のCSIRT間連携の強化に向け、ENISAが情報共 有の役割を実施。また、関連資料を一般に公開する等、 CSIRT構築を支援。 中国 ・大規模サイバー攻撃に備えて、中国国内およびアジア太 平洋地域の双方における対応能力の向上に向けた取組 および連携強化。 ・中国におけるコンピュータウィルス情報を共有するための プラットフォームとしてANVA(Anti Network-Virus Alliance of China)を運営中。 米国 ・サイバー脅威に関する捜査を行うための国家サイバー捜査合 同タスクフォースを設立し、サイバー上の脅威に関する捜査に関 し、関係当局間の情報共有及び調整を実施。 韓国 ・KrCERTにて以下を実施。①DDoS攻撃に参加させられているIPア ドレスユーザへの通知連絡体制の整備、②中小企業等向けのDDoS シェルターサービスの開始(企業等サイトへのDDoS攻撃をシェル ターに誘導)、 ③国境を越えたサイバー攻撃に備えて、アジア太平洋 地域各国との対応能力の向上に向けた取組および連携強化。 (6)世界の情報セキュリティ政策の取組状況(普及啓発) 欧州 日本 ・普及啓発に関する専門家を対象に、情報共有を目的としたプ ラットフォームコミュニティの構築・運営。 ・普及啓発分野における調査等の内容を共有すべく、ENISA が定例の一般向け会議・ワークショップを開催。 ・ENISAが普及啓発用のビデオ、ポスター、PC用コンテンツを 作成・配布。 ・毎年2月を情報セキュリティ月間とし、内閣官房及び各省庁 が普及啓発関連のイベント等を開催。 ・また、年間を通じて経済産業省(インターネット安全教室や中 小企業指導者育成事業)、総務省、警察庁、IPA等が普及啓 発のための事業等を実施。 米国 中国 ・毎年10月をサイバーセキュリティ啓発月間とし、民間との協力 の基に普及啓発関連のイベントを開催したり、テレビやラジオを 使用した普及啓発活動を実施。 ・政府と産業界の連携した取組である国家サイバーセキュリティ 同盟(National Cyber Security Alliance (NCSA))に活動 資金を提供。同連盟は消費者、中小企業、教育関係者に対する 普及啓発活動を実施。 ・CNCERT/CCにて、通常の普及啓発活動(セ キュリティ掲示板、脆弱性アドバイザリ、マルウエ ア警戒、技術文書、セキュリティガイド、月次・年 次報告書)を行なう他、新たに週次報告書、イン ターネットセキュリティレポート(月次)、脆弱性レ ポート(週次)を発行。 韓国 ・毎年6月の第3週を情報セキュリティ週間とし、普及啓発関連の イベントを開催したり、パンフレットの配布等を実施。 ・情報セキュリティ普及啓発に関する年間表彰を実施。 111