...

こちら - シンビオ社会研究会

by user

on
Category: Documents
22

views

Report

Comments

Transcript

こちら - シンビオ社会研究会
シンビオ研究談話会資料
サイバーセキュリティに関する取り組みと
リスクマネジメント
2016年10月31日
日本電信電話株式会社 顧問 (元副社長)
宇治 則孝
0
NTTグループのフォーメーション
• 連結営業収益 :
• 連結営業利益 :
• 従業員数
:
• 連結子会社数 :
115,410億円
13,481億円
241,450名
907社
*数字は議決権比率(2016年3月末現在)
*
*
100%
NTT東日本
100%
NTT西日本
地域通信事業
*
*
100%
100%
NTT
Dimension
Data
65.7%
*
54.2%
その他
グループ会社
NTTドコモ
NTTデータ
長距離・
国際通信事業
移動通信事業
データ通信事業
コミュニケーションズ
*
その他の事業
不動産事業
金融事業
建築・電力事業
営業収益
34,079億円
22,509億円
45,271億円
16,168億円
12,945億円
営業利益
2,650億円
967億円
7,884億円
1,127億円
740億円
従業員数
66,200名
43,750名
26,150名
80,550名
24,800名
子会社数
52社
383社
125社
258社
89社
(注)2016年3月期。各セグメントの営業収益および営業利益は、セグメント間取引を含む
1
各セグメントに占める割合
収入
地域通信事業
長距離・
国際通信事業
移動通信事業
データ通信事業
その他の事業
不動産事業
金融事業
建築・電力事業
建築・電力事業
利益
社員数
26.0%
19.8%
27.4%
(3兆4,079億円)
(2,650億円)
(66,214名)
17.2%
7.2%
18.1%
(2兆2,509億円)
(967億円)
(43,758名)
34.6%
59.0%
10.8%
(4兆5,271億円)
(7,884億円)
(26,129名)
12.3%
8.4%
33.4%
(1兆6,168億円)
(1,127億円)
(80,526名)
9.9%
5.6%
10.3%
(1兆2,945億円)
(740億円)
(24,821名)
※数値は2015年度実績
2
略歴
1973
技術局
DIPS(コンピュータ)、DCNA(通信プロトコル)、データ端末
1978
通信局
電気通信設備計画(札幌、北陸)
1982
1983
技術局
電電総裁室企画室
技術戦略総括
電電民営化、新規事業企画
1985
NTT新規事業開発室
JV企画
1987
NTTデータ
民間企業分野、営業、コンサル、企画開発
事業拡大、M&A
新世代情報サービス、ベンチャー会社
経営企画
2007
NTT持株
技術戦略、情報戦略、成長戦略
サービス創造、グループ連携、R&Dイノベーション
クラウド戦略
2012
NTT顧問
社外取締役、IT協会、テレワーク協会
3
サイバーセキュリティとは
近年のサイバー攻撃の動向
国のサイバーセキュリティ戦略(日本)の動向
サイバーセキュリティ先進国(米国)の動向
NTTグループの取り組み
(サイバー攻撃に対するリスクマネジメント)
今後に向けて
4
セキュリティの種類
一般
保安
コンピュータ・仮想空間・ICT
現実世界・物理的な領域
コンピュータセキュリティ
情報セキュリティ
ネットワークセキュリティ
警備
ホームセキュリティ
安全保障
※出資を募る団体を損害から保護するという意味から派生
金融
証券※
5
セキュリティに関するトレンド
2020年に向け、世界的なIoTの浸透や新サービス創出の加速が社会変革をもたらす一方で、
セキュリティに関する新たな課題やニーズが生じる可能性がある
【環境変化】
(2000年)
デバイス
デバイス
PC
PC
(2010年)
スマートフォン
スマートフォン
タブレット
タブレット
(2020年)
IoT
IoT
【想定されるトレンド】
数百億の
数百億の
デバイスが
デバイスが
対象に
対象に
ブロードバンド
クラウド
ブロードバンド
クラウド
Web
SNS
Web
SNS
業務効率化
業務効率化 日常生活改善
日常生活改善
ビッグデータ、AI
ビッグデータ、AI
スマートライフ
スマートライフ
社会変革
社会変革
社会環境の
社会環境の
自動制御が
自動制御が
可能に
可能に
マルウェア感染
脅威
マルウェア感染 サイバー攻撃
サイバー攻撃
脅威
影響
情報漏えい
影響
情報漏えい 機密情報搾取
機密情報搾取
(対象)
(対象)
(個人)
(組織)
(個人)
(組織)
サイバーテロ
サイバーテロ
物理的被害
物理的被害
(国家・社会)
(国家・社会)
社会全体に
社会全体に
対する攻撃が
対する攻撃が
発生
発生
サービス
サービス
効果
効果
セキュリティ
セキュリティ
対策
対策
アンチウィルス
アンチウィルス
ユーザ教育
ユーザ教育
セキュリティ
セキュリティ
インテリジェンス共有
インテリジェンス共有
アプライアンス
アプライアンス
世界的防衛体制
世界的防衛体制
MSS/CSIRT
MSS/CSIRT
単一の国家
単一の国家
や企業では
や企業では
対応不可
対応不可
IoTの進展により
守るべき対象が
拡大・多様化
増加・深刻化する
脅威に対抗する
ために連携すべき
組織が拡大
6
サイバーセキュリティとは
近年のサイバー攻撃の動向
国のサイバーセキュリティ戦略(日本)の動向
サイバーセキュリティ先進国(米国)の動向
NTTグループの取り組み
(サイバー攻撃に対するリスクマネジメント)
今後に向けて
7
サイバー攻撃の動向
人の心理的な隙やミス等を突いた攻撃(ソーシャルエンジニアリング手法)の増加
攻撃対象の非情報系システム(IoT/制御系システム)への広がり
対象
概要
時期
航空
サイバー攻撃によって、航空会社(LOTポーランド航空)の欠航が続出
2015年6月
政府
大規模サイバー攻撃によって、米政府の職員情報を管理する連邦人事管理局(OPM)
のコンピューターからアメリカ政府職員400万人分の個人情報が流出
2015年6月
政府
サイバー攻撃によって、日本年金機構が100万人以上の個人情報を漏洩
2015年5月
放送
サイバー攻撃によって、仏テレビ局(TV5 Monde)が放送不能の事態発生
2015年4月
電力
サイバー攻撃によって、韓国の原子力発電所が不正侵入される
韓国の原子炉23基の安全性に影響はなし
2014年12月
工場
サイバー攻撃によって、ドイツの鉄鋼工場の生産設備が破壊される事態に
2014年12月
その他
サイバー攻撃によって、米映画会社(ソニー・ピクチャーズエンタテインメント)の俳優ら
の情報流出
2014年12月
8
人の心理的な隙やミス等を突いた攻撃(標的型攻撃)
なりすましメールやWebサイト改ざん等により、利用者に気付かれないようにウィルスをダウンロー
ドさせ、利用者のPCをマルウエアに感染させて重要情報を詐取する攻撃
●日本年金機構による情報流出
【攻撃者】
【メール/Webサイト】
①なりすましメール送付
Webサイトの改ざん
マルウエア
配信サーバ
③配信サーバに
自動でアクセス
【被害者】
②添付ファイルの開封
サイトへアクセス
http://
④気付かずにマルウエアをダウンロード
9
サイバー攻撃の広がり
サイバー攻撃の標的は情報系システムから、非情報系システム(IoT/制御系)へと対象が拡大
してきている
制御システムのオープン化(標準プロトコル・汎用OSの利用及び情報システムとネットワークを
介した相互接続の進展)により、セキュリティリスクが高まっている
水道
工場
(97件,33%)
(25件,8%)
交通
(23件,8%)
https://www.youtube.com/watch?v=fJyWngDco3g
エネルギー(電気・ガス)
(46件,16%)
FY2015のICS-CERTによる対応件数(全295件)
https://www.ipa.go.jp/files/000050515.pdf
10
サイバーセキュリティとは
近年のサイバー攻撃の動向
国のサイバーセキュリティ戦略(日本)の動向
サイバーセキュリティ先進国(米国)の動向
NTTグループの取り組み
(サイバー攻撃に対するリスクマネジメント)
今後に向けて
11
我が国におけるサイバーセキュリティ政策推進体制
(法施行後 H27.1.9~)
内閣
内閣総理大臣
本部長 内閣官房長官
事務局
我が国の安全保障に
関する重要事項を審議
国土交通省 (鉄道、航空、物流)
<その他関係省庁>
文部科学省(セキュリティ教育)等
内閣官房 内閣サイバーセキュリティセンター
(2015.1.9 内閣官房組織令により設置)
内閣サイバーセキュリティセンター長
(内閣官房副長官補)
重要インフラ事業者等
内閣サイバーセキュリティセンター資料を基にNTTにて編集
警察庁(サイバー犯罪・攻撃の取締り)
協力
クレジット、石油)
(2015.1.9 サイバーセキュリティ基本法により設置)
国家安全保障会議
(NSC)
<閣僚本部員5省庁>
協力
<重要インフラ所管省庁>
金融庁 (金融機関)
総務省 (地方公共団体、情報通信)
厚生労働省 (医療、水道)
経済産業省 (電力、ガス、化学、
緊密連携
高度情報通信ネットワーク
社会の形成に関する施策
を迅速かつ重点的に推進
サイバーセキュリティ戦略本部
緊密連携
高度情報通信ネットワーク社会
推進戦略本部
(IT総合戦略本部)
政府機関(各府省庁)
総務省(通信・ネットワーク政策)
外務省(外交・安全保障)
経済産業省(情報政策)
防衛省(国の防衛)
企業
個人
12
サイバーセキュリティ政策の経緯
米国での中国軍関係者
Webサーバの
制御システム
遠隔操作 起訴・指名手配
省庁HP 脆弱性への攻撃
DNSキャッシュ 米韓 Stuxnet
ウィルス
年金機構
連続改ざん
フィッシング詐欺
ポイズニング DDoS
情報流出
攻撃
水飲み場型
韓国
2000.1 米国
スパイウェア
攻撃
感染PCに
攻撃
大規模
誘導型攻撃
よる不正送金
同時多発
障害
の出現
ボットネット
Gumblar
9.18
標的型攻撃 米国ソニー
テロ
Winny
猛威
による攻撃
攻撃
組織的高度化 (SPE)
2001.9
2000
試行
錯誤
2005
DoS攻撃、
コンピュータ
ウイルス対策
2010
サミット、2020オリパラ
マイナンバー利用開始
IoTの広がり 等
2015
年度
国家安全保障・危機管理
としてのサイバーセキュリティ
リスクゼロ社会
高度なサイバー脅威に対し
積極的な対処が求められる時代
サイバー
セキュリティ
基本法公布
(2014.11.12)
第1次
情報セキュリティ基本計画
情報セキュリティポリシー
に関するガイドライン
「事故前提社会」での
リスクベース対策
国民を守る情報セキュリティ戦略
基本戦略
政府機関対策
○重要な環境変化
第2次
情報セキュリティ基本計画
サイバーセキュリティ戦略
(2015.9.4 閣議決定)
サイバーセキュリティ戦略
政府機関の情報セキュリティ対策のための統一基準
重要インフラ対策
サイバーテロ対策に
係る特別行動計画
組織体制
情報セキュリティ
対策推進室
(2000.2設置)
情報セキュリティ対策に
係る行動計画
情報セキュリティ対策に
係る第2次行動計画
内閣官房情報セキュリティセンター(2005.4 設置)
情報セキュリティ政策会議(2005.5 設置)
内閣サイバーセキュリティセンター資料を基にNTTにて編集
情報セキュリティ対策に
係る第3次行動計画
内閣サイバーセキュリティセンター
サイバーセキュリティ戦略本部(2015.1設置)
13
新たな「サイバーセキュリティ戦略」について
「自由、公正かつ安全なサイバー空間」を創出・発展させ、もって 「経済社会の活力の向上及び
持続的発展」、「国民が安全で安心して暮らせる社会の実現」 、「国際社会の平和・安定及び
我が国の安全保障」 に寄与する
経済社会の活力の向上
及び持続的発展
国民が安全で安心して
暮らせる社会の実現
国際社会の平和・安定
及び我が国の安全保障
費用から投資へ
2020年・その後に向けた
基盤形成
サイバー空間における
積極的平和主義
■国民・社会を守るための取組
■重要インフラを守るための取組
■政府機関を守るための取組
■我が国の安全の確保
■国際社会の平和・安定
■世界各国との協力・連携
■安全なIoTシステムの創出
■セキュリティマインドを持った
企業経営の推進
■セキュリティに係るビジネス環境
の整備
横断的施策
■研究開発の推進 攻撃検知・防御能力向上(分析手法・法制度を含む)のための研究開発
■人材の育成・確保
ハイブリッド型人材の育成、実践的演習、突出人材の発掘・確保、キャリアパス構築
内閣サイバーセキュリティセンター資料を基にNTTにて編集
14
重要インフラの情報セキュリティに関わる第3次行動計画
重要インフラ(13分野)
●情報通信
●医療
●金融
●水道
●航空
●物流
●鉄道
●化学
●電力
●クレジット
●ガス
●石油
重要インフラ所管省庁
内閣サイバーセキュリティセンター
(NISC)による調整・連携
●金融庁
●総務省
●厚生労働省
●経済産業省
●国土交通省
●政府・行政サービス
(含・地方公共団体)
関係機関等
●情報セキュリティ関係省庁
●事案対処省庁
●防災関係府省庁
●情報セキュリティ関係機関
●サイバー空間関連事業者
情報セキュリティ政策会議 策定
重要インフラの情報セキュリティに係る第3次行動計画 H26.5.19
H27.5.25 サイバーセキュリティ戦略本部改訂
安全基準等の
整備・浸透
情報共有体制の
強化
内閣サイバーセキュリティセンター資料を基にNTTにて編集
障害対応体制の
強化
リスク
マネジメント
防護基盤の
強化
15
サイバーセキュリティとは
近年のサイバー攻撃の動向
国のサイバーセキュリティ戦略(日本)の動向
サイバーセキュリティ先進国(米国)の動向
NTTグループの取り組み
(サイバー攻撃に対するリスクマネジメント)
今後に向けて
16
米国の状況(1)
重要インフラ防御
•
官民連携重視: 重要インフラの所有者は民間企業であり、政府からの強制では
なく、民間の自主性を促す傾向。
•
商務省の技術標準局(NIST)が、オバマ大統領の指示を受け、重要インフラ向け
サイバーセキュリティフレームワーク(通称NIST FW)公開。産業界からも前向き
に受け止められ、適用が進んでいる。
デジタル経済/デジタルイノベーションを支えるサイバーセキュリティ
•
インダストリー4.0、AI、Fintech等の活用により企業の競争力が向上するが、
同時にインターネット依存度が増し、サイバーリスクが高まる。
•
サイバーセキュリティは、デジタルイノベーションを支える技術として認知され、企業
成長に向けた投資との位置づけ(コストではなく)。
17
米国の状況(2)
情報共有の重要性
• 北米では、業界毎に情報共有を行う取り組み(ISAC)が活発。
• 現在21のISACが活動中。日本では2つ(ICT、金融)のみ。
• インシデント発生時に報告を促す法律(CISA)が可決。
NTTの取り組み
• 官民連携活動(CSCC、CSRIC)に、北米以外の企業として唯一加盟
情報共有、人材育成等の分野で情報収集・意見交換を実施。
•
サイバーセキュリティ分野で活動する日本企業として認知され、国際会議やホワイ
トハウス主催サミットでの講演・パネリストの要請を受ける。
18
業界ごとに情報共有を行う取り組み(ISAC)
Auto
ISAC
EMERGENCY
MANAGEMENT
AND RESPONSE
ISAC
Oil &
Natural Gas
ISAC
Aviation
ISAC
Financial
Service
ISAC
Real Estate
ISAC
NCC/
Communication
ISAC
Healthcare
Ready
Research &
Engineering
Network
ISAC
DIB
ISAC
Information
Technology
ISAC
Retail Cyber
Intelligence
Sharing Center
Defense
Security
Information
Exchange
Maritime
ISAC
Supply Chain
ISAC
Downstream
Natural
Multi-State
ISAC
Water
ISAC
National Health
ISAC
SURFACE
TRANSPORTATION,
PUBLIC
TRANSPORTATION
AND OVER-THEROAD BUS ISACS
Electricity
ISAC
19
サイバーセキュリティとは
近年のサイバー攻撃の動向
国のサイバーセキュリティ戦略(日本)の動向
サイバーセキュリティ先進国(米国)の動向
NTTグループの取り組み
(サイバー攻撃に対するリスクマネジメント)
今後に向けて
20
セキュリティ人材育成の取り組み
NTTグループ各社の事業領域をカバーするため、セキュリティ人材を3つのタイプと3段階の
レベルに大別し、人物イメージに応じた人材育成施策を推進
人材
タイプ
セキュリティ
マネジメント・コンサル
CSO
ホワイトハッカー
セキュリティアーキテクト
レベル
深い経験と判断力を備えたスペシャリスト
セキュリティコンサルタント
初級
セキュリティ研究開発
業界屈指の実績を持つ第一人者
上級
中級
セキュリティ運用
セキュリティアナリスト
セキュアシステム開発PM
必須知識を持ち担当業務を遂行できる実務者
セキュリティ推進担当者
SOC/NOC担当者
セキュリティSE
人物イメージ(例)
21
セキュリティ人材育成の取り組み
3段階の中でも、今年度は特に中級レベルの人材育成に注力
約10,000人~
セキュリティ
人員数(国内)
上
級
レベル/要件
約2,500人
2014年
人
材
セキュリティ
マネジメント・
コンサル
トップガン
人材の輩出
セキュリティ運用
セキュリティ開発
セキュリティマスター
目標人数
50~100
セキュリティプリンシパル
中
級
スペシャリスト
の増強
セキュリティプロフェッショナル
2,000
初
級
セキュリティ
人材の底上げ
セキュリティエキスパート
8,000
2020年
22
NTTグループにおけるセキュリティ推進体制
NTT持株会社及びグループ各社のCISOを中心に、一丸となってセキュリティマネジメントの強化及びセキュ
リティ人材育成の施策を推進
ナショナルイベントにおいては、 政府やJPCERT/CC やT-CEPTER、ICT-ISAC等の外部組織とも
連携をしながら対応
政府
NISC
NISC
警察庁
警察庁
イベント所管省庁
イベント所管省庁
総務省
総務省
重要インフラ事業者として報告
お客様への報告
案件受託
会社
その他
グループ会社
各社から業界団体への
協力依頼と情報収集
持株が情報のハブとなり、各社サイバーセキュリティ対策チーム間での情報共有・対処検討
T
R
E
C
T
T
N
T
T
N
持株
(
)
CERT間連携による情報収集
T-ISAC
T-ISAC
ISP
ISP
JPCERT/CC
JPCERT/CC
CEPTOAR
CEPTOAR
外部組織
23
NTTセキュリティ社
グループが有するセキュリティの分析基盤、脅威情報、専門技術を集約したセキュリティ専門会社として、
2016年8月1日に事業を開始
独自のSIEM(Security Information and Event Management)基盤を強みとし、マネージド・
セキュリティ分野で、3年後に世界一を目指す
お客さま
他の
SIer
営業
他の
SIer
◆クライアント・マネジメント
◆ハード/ソフト/ベンダ保守の再販
◆トータル・ソリューション・コンサルティング
◆セキュリティ・プロダクト・セールスサポート
◆セキュリティ専門コンサルティング
◆侵入テスト
◆高度セキュリティ運用(SOC)
◆セキュリティ・インテリジェンス
◆サービス企画・開発
他サービス
...
他サービス
他社
他社
...
サービス開発
24
セキュリティ対策を実現するための研究開発
「世界最先端のセキュリティ技術の創出」および「セキュリティ技術を活用した総合的なセキュリ
ティ強化」を目指す
社内システム
通信サービス 法人ソリューション
設計・運用技術、技術支援など
事故・攻撃対応
事故・攻撃対応
(リアクティブ)
(リアクティブ)
事故・攻撃予防
事故・攻撃予防
(プロアクティブ)
(プロアクティブ)
セキュリティ設計・運用
セキュリティ設計・運用
(クオリティマネジメント)
(クオリティマネジメント)
技術活用を軸としたR&D
セキュリティ基本技術
暗号理論とデータ保護技術
暗号理論とデータ保護技術
(データセキュリティ)
(データセキュリティ)
サイバー攻撃検知、防御
サイバー攻撃検知、防御
(ネットワークセキュリティ)
(ネットワークセキュリティ)
技術開発を軸としたR&D
25
産業横断サイバーセキュリティ人材育成検討会
経団連配下のサイバーセキュリティ懇談会の参加メンバー、及び重要インフラ企業を中心に、
2015.6.9発足
情報通信、金融、航空、鉄道、エネルギー関連等、重要インフラ13業種を中心に、現在48
社以上が参加
KDDI株式会社
JXホールディングス株式会社
住友化学株式会社
全日本空輸株式会社
ソニー株式会社
大日本印刷株式会社
株式会社TBSテレビ
東海旅客鉄道株式会社
東京海上日動火災保険株式会社
東京ガス株式会社
東京地下鉄株式会社
株式会社 東芝
トヨタ自動車株式会社
株式会社 日本経済新聞社
日本生命保険相互会社
日本テレビ放送網株式会社
日本電気株式会社(NEC)
日本電信電話株式会社
日本放送協会
日本郵船株式会社
株式会社野村総合研究所
株式会社パソナ
東日本旅客鉄道株式会社
株式会社日立製作所
富士通株式会社
株式会社みずほフィナンシャルグループ
三井住友カード株式会社
株式会社三井住友銀行
三菱重工業株式会社
三菱商事株式会社
三菱電機株式会社
株式会社三菱東京UFJ銀行
ヤマトホールディングス株式会社
株式会社リコー
他、現在計48社以上
26
これまでの成果と国や各省庁との関係
経団連:
経団連:
『サイバーセキュリティ対策の
『サイバーセキュリティ対策の
強化に向けた提言』
強化に向けた提言』
活動の
きっかけ
NISC:
NISC:
『サイバーセキュリティ人材育成
『サイバーセキュリティ人材育成
総合強化方針』
総合強化方針』
参考
経産省:
経産省:
『サイバーセキュリティ経営
『サイバーセキュリティ経営
ガイドライン』
ガイドライン』
参考
活動成果の
報告、意見
活動成果の
報告、意見
活動成果の
報告、意見
今後相談
総務省:
総務省:
サイバーセキュリティ演
サイバーセキュリティ演
習に関する取り組み等
習に関する取り組み等
(教育プログラム等)
NIST:
NIST:
『サイバーセキュリティ
『サイバーセキュリティ
フレームワーク』
フレームワーク』
参考
マッピング
(今後議論)
(2016年7月公開)
参考
NIST:
NIST:
『NICE (National
(National Initiative
Initiative for
for
『NICE
Cybersecurity Education)』
Education)』
Cybersecurity
マッピング
(作業中)
整合性確認
経産省:
経産省:
『情報処理安全確保 『情報処理安全確保 支援制度』
支援制度』
経産省:
経産省:
『IT人材の最新動向と将来推計に
『IT人材の最新動向と将来推計に
関する調査結果
関する調査結果
~情報セキュリティ人材13.9万人不足~
~情報セキュリティ人材13.9万人不足~』』
IPA:
IPA:
『i
『i コンピテンシ
コンピテンシ ディクショナリ』
ディクショナリ』
27
参考:最終報告書の公開予定Webサイト
http://cyber-risk.or.jp/
28
重要インフラ等におけるサイバーセキュリティの確保
内閣府では、戦略的イノベーション創造プログラム(SIP)を設置
課題の1つとして、重要インフラ等におけるサイバーセキュリティの確保を推進
SIP:Cross-ministerial Strategic Innovation Promotion Program
背景
重要インフラ・産業における
システムに対する脅威の増大
IoT機器の増大・多様化
国際競争の激化
研究開発
展開・成果
信頼性の高い
技術・システムによる
重要インフラ・産業の
安定的運用
世界をリードする
セキュアなIoT機器・
サービス等を通じた経済成長
内閣府 戦略的イノベーション創造プログラム(SIP)資料を基にNTTにて編集
2020オリパラの安全な
開催と研究成果のレガシー
としての発展・継続
29
SIPで開発するコア技術の役割
機器製造・導入時
機器評価機関
機器製造メーカ
機器運用時
「信頼の起点」
(root)
適合性検査・認定
「信頼」
「信頼の基点」対応機器
「信頼の基点 」
を機器に作り込み
照合監視センタ
セキュリティ確認技術
機器導入
「信頼」
「信頼」
従来困難であった運用中も
機器の偽装や改ざんを検知
(信頼の連鎖による機器検証)
オペレーションセンタ
制御ネットワーク
IoTシステム
重要インフラ (例:通信・放送、エネルギー、交通) 等
監視
IoTセキュリティ確認技術
小型IoT機器にも適用可能な
セキュリティ確認技術を実現、
多様なIoT機器の偽装や改ざ
んを検知
防御技術
ホワイトリスト協調機能により
インシデント発生時も安全な
機器のみで運用を継続
内閣府 戦略的イノベーション創造プログラム(SIP)資料を基にNTTにて編集
動作監視・解析技術
新旧機器が混在していても、
効果的・効率的にシステムの
健全性を確認、攻撃を検知
30
オールジャパン体制による推進
総合科学技術・イノベーション会議
ガバニングボード(有識者議員)
内閣府PD(後藤厚宏)
NEDO(管理法人)
知財委員会
サイバーセキュリティ 推進委員会
議長: PD(後藤厚宏)
サブPD:手塚 悟
事務局: 内閣府
委員: 学識経験者,重要インフラ事業者(出口),外部専門家,
NISC,総務省,経産省,防衛省,国交省
セキュリティ技術WG
(大学・ベンダー・
研究機関等)
リーダー委員会
委託先
研究開発項目
研究開発項目
制御・通信機器と制御ネットワークの
セキュリティ対策技術の研究開発
社会実装向け共通プラットフォームの実現と
セキュリティ人材育成
NTT,富士通,三菱電機,日立製作所,
NTT,富士通,三菱電機,日立製作所,
CSSC,ECSEC,ルネサス,
CSSC,ECSEC,ルネサス,
AVCネット,パナソニック
AVCネット,パナソニック
産総研,日立製作所,
産総研,日立製作所,
NTTコミュニケーションズ,
NTTコミュニケーションズ,
慶大,名工大
慶大,名工大
内閣府 戦略的イノベーション創造プログラム(SIP)資料を基にNTTにて編集
セキュリティ運用WG
(既存情報共有
組織等)
認証制度・関連法
制WG
(既存認証組織等)
人材育成WG
(大学・技術資格
組織等)
外部からのアドバイス
外部組織との連携
31
サイバーセキュリティとは
近年のサイバー攻撃の動向
国のサイバーセキュリティ戦略(日本)の動向
サイバーセキュリティ先進国(米国)の動向
NTTグループの取り組み
(サイバー攻撃に対するリスクマネジメント)
今後に向けて
32
レジリエンスの構築
抑止
予防
従来
攻撃
検知
回復
攻撃をできるだけ防ぐ
今後
防ぐことが困難
攻撃をできるだけ防ぐ
攻撃
侵入
33
今後に向けて
IoTの進展で、サイバー空間が実世界とつながり、
サイバー攻撃による影響大という認識(人命に関わる重大事故)
IoTの時代にふさわしいサイバーセキュリティ戦略
サイバーリスクの管理は、経営課題
ー やむを得ない「費用」ではなく、積極的な経営への「投資」 ー
34
今後に向けて
サプライチェーン全体でのサイバーセキュリティの確保
脅威情報の共有、分析作業の分担等の業界連携
35
ご清聴いただき、ありがとうございました
Fly UP