Comments
Description
Transcript
こちら - シンビオ社会研究会
シンビオ研究談話会資料 サイバーセキュリティに関する取り組みと リスクマネジメント 2016年10月31日 日本電信電話株式会社 顧問 (元副社長) 宇治 則孝 0 NTTグループのフォーメーション • 連結営業収益 : • 連結営業利益 : • 従業員数 : • 連結子会社数 : 115,410億円 13,481億円 241,450名 907社 *数字は議決権比率(2016年3月末現在) * * 100% NTT東日本 100% NTT西日本 地域通信事業 * * 100% 100% NTT Dimension Data 65.7% * 54.2% その他 グループ会社 NTTドコモ NTTデータ 長距離・ 国際通信事業 移動通信事業 データ通信事業 コミュニケーションズ * その他の事業 不動産事業 金融事業 建築・電力事業 営業収益 34,079億円 22,509億円 45,271億円 16,168億円 12,945億円 営業利益 2,650億円 967億円 7,884億円 1,127億円 740億円 従業員数 66,200名 43,750名 26,150名 80,550名 24,800名 子会社数 52社 383社 125社 258社 89社 (注)2016年3月期。各セグメントの営業収益および営業利益は、セグメント間取引を含む 1 各セグメントに占める割合 収入 地域通信事業 長距離・ 国際通信事業 移動通信事業 データ通信事業 その他の事業 不動産事業 金融事業 建築・電力事業 建築・電力事業 利益 社員数 26.0% 19.8% 27.4% (3兆4,079億円) (2,650億円) (66,214名) 17.2% 7.2% 18.1% (2兆2,509億円) (967億円) (43,758名) 34.6% 59.0% 10.8% (4兆5,271億円) (7,884億円) (26,129名) 12.3% 8.4% 33.4% (1兆6,168億円) (1,127億円) (80,526名) 9.9% 5.6% 10.3% (1兆2,945億円) (740億円) (24,821名) ※数値は2015年度実績 2 略歴 1973 技術局 DIPS(コンピュータ)、DCNA(通信プロトコル)、データ端末 1978 通信局 電気通信設備計画(札幌、北陸) 1982 1983 技術局 電電総裁室企画室 技術戦略総括 電電民営化、新規事業企画 1985 NTT新規事業開発室 JV企画 1987 NTTデータ 民間企業分野、営業、コンサル、企画開発 事業拡大、M&A 新世代情報サービス、ベンチャー会社 経営企画 2007 NTT持株 技術戦略、情報戦略、成長戦略 サービス創造、グループ連携、R&Dイノベーション クラウド戦略 2012 NTT顧問 社外取締役、IT協会、テレワーク協会 3 サイバーセキュリティとは 近年のサイバー攻撃の動向 国のサイバーセキュリティ戦略(日本)の動向 サイバーセキュリティ先進国(米国)の動向 NTTグループの取り組み (サイバー攻撃に対するリスクマネジメント) 今後に向けて 4 セキュリティの種類 一般 保安 コンピュータ・仮想空間・ICT 現実世界・物理的な領域 コンピュータセキュリティ 情報セキュリティ ネットワークセキュリティ 警備 ホームセキュリティ 安全保障 ※出資を募る団体を損害から保護するという意味から派生 金融 証券※ 5 セキュリティに関するトレンド 2020年に向け、世界的なIoTの浸透や新サービス創出の加速が社会変革をもたらす一方で、 セキュリティに関する新たな課題やニーズが生じる可能性がある 【環境変化】 (2000年) デバイス デバイス PC PC (2010年) スマートフォン スマートフォン タブレット タブレット (2020年) IoT IoT 【想定されるトレンド】 数百億の 数百億の デバイスが デバイスが 対象に 対象に ブロードバンド クラウド ブロードバンド クラウド Web SNS Web SNS 業務効率化 業務効率化 日常生活改善 日常生活改善 ビッグデータ、AI ビッグデータ、AI スマートライフ スマートライフ 社会変革 社会変革 社会環境の 社会環境の 自動制御が 自動制御が 可能に 可能に マルウェア感染 脅威 マルウェア感染 サイバー攻撃 サイバー攻撃 脅威 影響 情報漏えい 影響 情報漏えい 機密情報搾取 機密情報搾取 (対象) (対象) (個人) (組織) (個人) (組織) サイバーテロ サイバーテロ 物理的被害 物理的被害 (国家・社会) (国家・社会) 社会全体に 社会全体に 対する攻撃が 対する攻撃が 発生 発生 サービス サービス 効果 効果 セキュリティ セキュリティ 対策 対策 アンチウィルス アンチウィルス ユーザ教育 ユーザ教育 セキュリティ セキュリティ インテリジェンス共有 インテリジェンス共有 アプライアンス アプライアンス 世界的防衛体制 世界的防衛体制 MSS/CSIRT MSS/CSIRT 単一の国家 単一の国家 や企業では や企業では 対応不可 対応不可 IoTの進展により 守るべき対象が 拡大・多様化 増加・深刻化する 脅威に対抗する ために連携すべき 組織が拡大 6 サイバーセキュリティとは 近年のサイバー攻撃の動向 国のサイバーセキュリティ戦略(日本)の動向 サイバーセキュリティ先進国(米国)の動向 NTTグループの取り組み (サイバー攻撃に対するリスクマネジメント) 今後に向けて 7 サイバー攻撃の動向 人の心理的な隙やミス等を突いた攻撃(ソーシャルエンジニアリング手法)の増加 攻撃対象の非情報系システム(IoT/制御系システム)への広がり 対象 概要 時期 航空 サイバー攻撃によって、航空会社(LOTポーランド航空)の欠航が続出 2015年6月 政府 大規模サイバー攻撃によって、米政府の職員情報を管理する連邦人事管理局(OPM) のコンピューターからアメリカ政府職員400万人分の個人情報が流出 2015年6月 政府 サイバー攻撃によって、日本年金機構が100万人以上の個人情報を漏洩 2015年5月 放送 サイバー攻撃によって、仏テレビ局(TV5 Monde)が放送不能の事態発生 2015年4月 電力 サイバー攻撃によって、韓国の原子力発電所が不正侵入される 韓国の原子炉23基の安全性に影響はなし 2014年12月 工場 サイバー攻撃によって、ドイツの鉄鋼工場の生産設備が破壊される事態に 2014年12月 その他 サイバー攻撃によって、米映画会社(ソニー・ピクチャーズエンタテインメント)の俳優ら の情報流出 2014年12月 8 人の心理的な隙やミス等を突いた攻撃(標的型攻撃) なりすましメールやWebサイト改ざん等により、利用者に気付かれないようにウィルスをダウンロー ドさせ、利用者のPCをマルウエアに感染させて重要情報を詐取する攻撃 ●日本年金機構による情報流出 【攻撃者】 【メール/Webサイト】 ①なりすましメール送付 Webサイトの改ざん マルウエア 配信サーバ ③配信サーバに 自動でアクセス 【被害者】 ②添付ファイルの開封 サイトへアクセス http:// ④気付かずにマルウエアをダウンロード 9 サイバー攻撃の広がり サイバー攻撃の標的は情報系システムから、非情報系システム(IoT/制御系)へと対象が拡大 してきている 制御システムのオープン化(標準プロトコル・汎用OSの利用及び情報システムとネットワークを 介した相互接続の進展)により、セキュリティリスクが高まっている 水道 工場 (97件,33%) (25件,8%) 交通 (23件,8%) https://www.youtube.com/watch?v=fJyWngDco3g エネルギー(電気・ガス) (46件,16%) FY2015のICS-CERTによる対応件数(全295件) https://www.ipa.go.jp/files/000050515.pdf 10 サイバーセキュリティとは 近年のサイバー攻撃の動向 国のサイバーセキュリティ戦略(日本)の動向 サイバーセキュリティ先進国(米国)の動向 NTTグループの取り組み (サイバー攻撃に対するリスクマネジメント) 今後に向けて 11 我が国におけるサイバーセキュリティ政策推進体制 (法施行後 H27.1.9~) 内閣 内閣総理大臣 本部長 内閣官房長官 事務局 我が国の安全保障に 関する重要事項を審議 国土交通省 (鉄道、航空、物流) <その他関係省庁> 文部科学省(セキュリティ教育)等 内閣官房 内閣サイバーセキュリティセンター (2015.1.9 内閣官房組織令により設置) 内閣サイバーセキュリティセンター長 (内閣官房副長官補) 重要インフラ事業者等 内閣サイバーセキュリティセンター資料を基にNTTにて編集 警察庁(サイバー犯罪・攻撃の取締り) 協力 クレジット、石油) (2015.1.9 サイバーセキュリティ基本法により設置) 国家安全保障会議 (NSC) <閣僚本部員5省庁> 協力 <重要インフラ所管省庁> 金融庁 (金融機関) 総務省 (地方公共団体、情報通信) 厚生労働省 (医療、水道) 経済産業省 (電力、ガス、化学、 緊密連携 高度情報通信ネットワーク 社会の形成に関する施策 を迅速かつ重点的に推進 サイバーセキュリティ戦略本部 緊密連携 高度情報通信ネットワーク社会 推進戦略本部 (IT総合戦略本部) 政府機関(各府省庁) 総務省(通信・ネットワーク政策) 外務省(外交・安全保障) 経済産業省(情報政策) 防衛省(国の防衛) 企業 個人 12 サイバーセキュリティ政策の経緯 米国での中国軍関係者 Webサーバの 制御システム 遠隔操作 起訴・指名手配 省庁HP 脆弱性への攻撃 DNSキャッシュ 米韓 Stuxnet ウィルス 年金機構 連続改ざん フィッシング詐欺 ポイズニング DDoS 情報流出 攻撃 水飲み場型 韓国 2000.1 米国 スパイウェア 攻撃 感染PCに 攻撃 大規模 誘導型攻撃 よる不正送金 同時多発 障害 の出現 ボットネット Gumblar 9.18 標的型攻撃 米国ソニー テロ Winny 猛威 による攻撃 攻撃 組織的高度化 (SPE) 2001.9 2000 試行 錯誤 2005 DoS攻撃、 コンピュータ ウイルス対策 2010 サミット、2020オリパラ マイナンバー利用開始 IoTの広がり 等 2015 年度 国家安全保障・危機管理 としてのサイバーセキュリティ リスクゼロ社会 高度なサイバー脅威に対し 積極的な対処が求められる時代 サイバー セキュリティ 基本法公布 (2014.11.12) 第1次 情報セキュリティ基本計画 情報セキュリティポリシー に関するガイドライン 「事故前提社会」での リスクベース対策 国民を守る情報セキュリティ戦略 基本戦略 政府機関対策 ○重要な環境変化 第2次 情報セキュリティ基本計画 サイバーセキュリティ戦略 (2015.9.4 閣議決定) サイバーセキュリティ戦略 政府機関の情報セキュリティ対策のための統一基準 重要インフラ対策 サイバーテロ対策に 係る特別行動計画 組織体制 情報セキュリティ 対策推進室 (2000.2設置) 情報セキュリティ対策に 係る行動計画 情報セキュリティ対策に 係る第2次行動計画 内閣官房情報セキュリティセンター(2005.4 設置) 情報セキュリティ政策会議(2005.5 設置) 内閣サイバーセキュリティセンター資料を基にNTTにて編集 情報セキュリティ対策に 係る第3次行動計画 内閣サイバーセキュリティセンター サイバーセキュリティ戦略本部(2015.1設置) 13 新たな「サイバーセキュリティ戦略」について 「自由、公正かつ安全なサイバー空間」を創出・発展させ、もって 「経済社会の活力の向上及び 持続的発展」、「国民が安全で安心して暮らせる社会の実現」 、「国際社会の平和・安定及び 我が国の安全保障」 に寄与する 経済社会の活力の向上 及び持続的発展 国民が安全で安心して 暮らせる社会の実現 国際社会の平和・安定 及び我が国の安全保障 費用から投資へ 2020年・その後に向けた 基盤形成 サイバー空間における 積極的平和主義 ■国民・社会を守るための取組 ■重要インフラを守るための取組 ■政府機関を守るための取組 ■我が国の安全の確保 ■国際社会の平和・安定 ■世界各国との協力・連携 ■安全なIoTシステムの創出 ■セキュリティマインドを持った 企業経営の推進 ■セキュリティに係るビジネス環境 の整備 横断的施策 ■研究開発の推進 攻撃検知・防御能力向上(分析手法・法制度を含む)のための研究開発 ■人材の育成・確保 ハイブリッド型人材の育成、実践的演習、突出人材の発掘・確保、キャリアパス構築 内閣サイバーセキュリティセンター資料を基にNTTにて編集 14 重要インフラの情報セキュリティに関わる第3次行動計画 重要インフラ(13分野) ●情報通信 ●医療 ●金融 ●水道 ●航空 ●物流 ●鉄道 ●化学 ●電力 ●クレジット ●ガス ●石油 重要インフラ所管省庁 内閣サイバーセキュリティセンター (NISC)による調整・連携 ●金融庁 ●総務省 ●厚生労働省 ●経済産業省 ●国土交通省 ●政府・行政サービス (含・地方公共団体) 関係機関等 ●情報セキュリティ関係省庁 ●事案対処省庁 ●防災関係府省庁 ●情報セキュリティ関係機関 ●サイバー空間関連事業者 情報セキュリティ政策会議 策定 重要インフラの情報セキュリティに係る第3次行動計画 H26.5.19 H27.5.25 サイバーセキュリティ戦略本部改訂 安全基準等の 整備・浸透 情報共有体制の 強化 内閣サイバーセキュリティセンター資料を基にNTTにて編集 障害対応体制の 強化 リスク マネジメント 防護基盤の 強化 15 サイバーセキュリティとは 近年のサイバー攻撃の動向 国のサイバーセキュリティ戦略(日本)の動向 サイバーセキュリティ先進国(米国)の動向 NTTグループの取り組み (サイバー攻撃に対するリスクマネジメント) 今後に向けて 16 米国の状況(1) 重要インフラ防御 • 官民連携重視: 重要インフラの所有者は民間企業であり、政府からの強制では なく、民間の自主性を促す傾向。 • 商務省の技術標準局(NIST)が、オバマ大統領の指示を受け、重要インフラ向け サイバーセキュリティフレームワーク(通称NIST FW)公開。産業界からも前向き に受け止められ、適用が進んでいる。 デジタル経済/デジタルイノベーションを支えるサイバーセキュリティ • インダストリー4.0、AI、Fintech等の活用により企業の競争力が向上するが、 同時にインターネット依存度が増し、サイバーリスクが高まる。 • サイバーセキュリティは、デジタルイノベーションを支える技術として認知され、企業 成長に向けた投資との位置づけ(コストではなく)。 17 米国の状況(2) 情報共有の重要性 • 北米では、業界毎に情報共有を行う取り組み(ISAC)が活発。 • 現在21のISACが活動中。日本では2つ(ICT、金融)のみ。 • インシデント発生時に報告を促す法律(CISA)が可決。 NTTの取り組み • 官民連携活動(CSCC、CSRIC)に、北米以外の企業として唯一加盟 情報共有、人材育成等の分野で情報収集・意見交換を実施。 • サイバーセキュリティ分野で活動する日本企業として認知され、国際会議やホワイ トハウス主催サミットでの講演・パネリストの要請を受ける。 18 業界ごとに情報共有を行う取り組み(ISAC) Auto ISAC EMERGENCY MANAGEMENT AND RESPONSE ISAC Oil & Natural Gas ISAC Aviation ISAC Financial Service ISAC Real Estate ISAC NCC/ Communication ISAC Healthcare Ready Research & Engineering Network ISAC DIB ISAC Information Technology ISAC Retail Cyber Intelligence Sharing Center Defense Security Information Exchange Maritime ISAC Supply Chain ISAC Downstream Natural Multi-State ISAC Water ISAC National Health ISAC SURFACE TRANSPORTATION, PUBLIC TRANSPORTATION AND OVER-THEROAD BUS ISACS Electricity ISAC 19 サイバーセキュリティとは 近年のサイバー攻撃の動向 国のサイバーセキュリティ戦略(日本)の動向 サイバーセキュリティ先進国(米国)の動向 NTTグループの取り組み (サイバー攻撃に対するリスクマネジメント) 今後に向けて 20 セキュリティ人材育成の取り組み NTTグループ各社の事業領域をカバーするため、セキュリティ人材を3つのタイプと3段階の レベルに大別し、人物イメージに応じた人材育成施策を推進 人材 タイプ セキュリティ マネジメント・コンサル CSO ホワイトハッカー セキュリティアーキテクト レベル 深い経験と判断力を備えたスペシャリスト セキュリティコンサルタント 初級 セキュリティ研究開発 業界屈指の実績を持つ第一人者 上級 中級 セキュリティ運用 セキュリティアナリスト セキュアシステム開発PM 必須知識を持ち担当業務を遂行できる実務者 セキュリティ推進担当者 SOC/NOC担当者 セキュリティSE 人物イメージ(例) 21 セキュリティ人材育成の取り組み 3段階の中でも、今年度は特に中級レベルの人材育成に注力 約10,000人~ セキュリティ 人員数(国内) 上 級 レベル/要件 約2,500人 2014年 人 材 セキュリティ マネジメント・ コンサル トップガン 人材の輩出 セキュリティ運用 セキュリティ開発 セキュリティマスター 目標人数 50~100 セキュリティプリンシパル 中 級 スペシャリスト の増強 セキュリティプロフェッショナル 2,000 初 級 セキュリティ 人材の底上げ セキュリティエキスパート 8,000 2020年 22 NTTグループにおけるセキュリティ推進体制 NTT持株会社及びグループ各社のCISOを中心に、一丸となってセキュリティマネジメントの強化及びセキュ リティ人材育成の施策を推進 ナショナルイベントにおいては、 政府やJPCERT/CC やT-CEPTER、ICT-ISAC等の外部組織とも 連携をしながら対応 政府 NISC NISC 警察庁 警察庁 イベント所管省庁 イベント所管省庁 総務省 総務省 重要インフラ事業者として報告 お客様への報告 案件受託 会社 その他 グループ会社 各社から業界団体への 協力依頼と情報収集 持株が情報のハブとなり、各社サイバーセキュリティ対策チーム間での情報共有・対処検討 T R E C T T N T T N 持株 ( ) CERT間連携による情報収集 T-ISAC T-ISAC ISP ISP JPCERT/CC JPCERT/CC CEPTOAR CEPTOAR 外部組織 23 NTTセキュリティ社 グループが有するセキュリティの分析基盤、脅威情報、専門技術を集約したセキュリティ専門会社として、 2016年8月1日に事業を開始 独自のSIEM(Security Information and Event Management)基盤を強みとし、マネージド・ セキュリティ分野で、3年後に世界一を目指す お客さま 他の SIer 営業 他の SIer ◆クライアント・マネジメント ◆ハード/ソフト/ベンダ保守の再販 ◆トータル・ソリューション・コンサルティング ◆セキュリティ・プロダクト・セールスサポート ◆セキュリティ専門コンサルティング ◆侵入テスト ◆高度セキュリティ運用(SOC) ◆セキュリティ・インテリジェンス ◆サービス企画・開発 他サービス ... 他サービス 他社 他社 ... サービス開発 24 セキュリティ対策を実現するための研究開発 「世界最先端のセキュリティ技術の創出」および「セキュリティ技術を活用した総合的なセキュリ ティ強化」を目指す 社内システム 通信サービス 法人ソリューション 設計・運用技術、技術支援など 事故・攻撃対応 事故・攻撃対応 (リアクティブ) (リアクティブ) 事故・攻撃予防 事故・攻撃予防 (プロアクティブ) (プロアクティブ) セキュリティ設計・運用 セキュリティ設計・運用 (クオリティマネジメント) (クオリティマネジメント) 技術活用を軸としたR&D セキュリティ基本技術 暗号理論とデータ保護技術 暗号理論とデータ保護技術 (データセキュリティ) (データセキュリティ) サイバー攻撃検知、防御 サイバー攻撃検知、防御 (ネットワークセキュリティ) (ネットワークセキュリティ) 技術開発を軸としたR&D 25 産業横断サイバーセキュリティ人材育成検討会 経団連配下のサイバーセキュリティ懇談会の参加メンバー、及び重要インフラ企業を中心に、 2015.6.9発足 情報通信、金融、航空、鉄道、エネルギー関連等、重要インフラ13業種を中心に、現在48 社以上が参加 KDDI株式会社 JXホールディングス株式会社 住友化学株式会社 全日本空輸株式会社 ソニー株式会社 大日本印刷株式会社 株式会社TBSテレビ 東海旅客鉄道株式会社 東京海上日動火災保険株式会社 東京ガス株式会社 東京地下鉄株式会社 株式会社 東芝 トヨタ自動車株式会社 株式会社 日本経済新聞社 日本生命保険相互会社 日本テレビ放送網株式会社 日本電気株式会社(NEC) 日本電信電話株式会社 日本放送協会 日本郵船株式会社 株式会社野村総合研究所 株式会社パソナ 東日本旅客鉄道株式会社 株式会社日立製作所 富士通株式会社 株式会社みずほフィナンシャルグループ 三井住友カード株式会社 株式会社三井住友銀行 三菱重工業株式会社 三菱商事株式会社 三菱電機株式会社 株式会社三菱東京UFJ銀行 ヤマトホールディングス株式会社 株式会社リコー 他、現在計48社以上 26 これまでの成果と国や各省庁との関係 経団連: 経団連: 『サイバーセキュリティ対策の 『サイバーセキュリティ対策の 強化に向けた提言』 強化に向けた提言』 活動の きっかけ NISC: NISC: 『サイバーセキュリティ人材育成 『サイバーセキュリティ人材育成 総合強化方針』 総合強化方針』 参考 経産省: 経産省: 『サイバーセキュリティ経営 『サイバーセキュリティ経営 ガイドライン』 ガイドライン』 参考 活動成果の 報告、意見 活動成果の 報告、意見 活動成果の 報告、意見 今後相談 総務省: 総務省: サイバーセキュリティ演 サイバーセキュリティ演 習に関する取り組み等 習に関する取り組み等 (教育プログラム等) NIST: NIST: 『サイバーセキュリティ 『サイバーセキュリティ フレームワーク』 フレームワーク』 参考 マッピング (今後議論) (2016年7月公開) 参考 NIST: NIST: 『NICE (National (National Initiative Initiative for for 『NICE Cybersecurity Education)』 Education)』 Cybersecurity マッピング (作業中) 整合性確認 経産省: 経産省: 『情報処理安全確保 『情報処理安全確保 支援制度』 支援制度』 経産省: 経産省: 『IT人材の最新動向と将来推計に 『IT人材の最新動向と将来推計に 関する調査結果 関する調査結果 ~情報セキュリティ人材13.9万人不足~ ~情報セキュリティ人材13.9万人不足~』』 IPA: IPA: 『i 『i コンピテンシ コンピテンシ ディクショナリ』 ディクショナリ』 27 参考:最終報告書の公開予定Webサイト http://cyber-risk.or.jp/ 28 重要インフラ等におけるサイバーセキュリティの確保 内閣府では、戦略的イノベーション創造プログラム(SIP)を設置 課題の1つとして、重要インフラ等におけるサイバーセキュリティの確保を推進 SIP:Cross-ministerial Strategic Innovation Promotion Program 背景 重要インフラ・産業における システムに対する脅威の増大 IoT機器の増大・多様化 国際競争の激化 研究開発 展開・成果 信頼性の高い 技術・システムによる 重要インフラ・産業の 安定的運用 世界をリードする セキュアなIoT機器・ サービス等を通じた経済成長 内閣府 戦略的イノベーション創造プログラム(SIP)資料を基にNTTにて編集 2020オリパラの安全な 開催と研究成果のレガシー としての発展・継続 29 SIPで開発するコア技術の役割 機器製造・導入時 機器評価機関 機器製造メーカ 機器運用時 「信頼の起点」 (root) 適合性検査・認定 「信頼」 「信頼の基点」対応機器 「信頼の基点 」 を機器に作り込み 照合監視センタ セキュリティ確認技術 機器導入 「信頼」 「信頼」 従来困難であった運用中も 機器の偽装や改ざんを検知 (信頼の連鎖による機器検証) オペレーションセンタ 制御ネットワーク IoTシステム 重要インフラ (例:通信・放送、エネルギー、交通) 等 監視 IoTセキュリティ確認技術 小型IoT機器にも適用可能な セキュリティ確認技術を実現、 多様なIoT機器の偽装や改ざ んを検知 防御技術 ホワイトリスト協調機能により インシデント発生時も安全な 機器のみで運用を継続 内閣府 戦略的イノベーション創造プログラム(SIP)資料を基にNTTにて編集 動作監視・解析技術 新旧機器が混在していても、 効果的・効率的にシステムの 健全性を確認、攻撃を検知 30 オールジャパン体制による推進 総合科学技術・イノベーション会議 ガバニングボード(有識者議員) 内閣府PD(後藤厚宏) NEDO(管理法人) 知財委員会 サイバーセキュリティ 推進委員会 議長: PD(後藤厚宏) サブPD:手塚 悟 事務局: 内閣府 委員: 学識経験者,重要インフラ事業者(出口),外部専門家, NISC,総務省,経産省,防衛省,国交省 セキュリティ技術WG (大学・ベンダー・ 研究機関等) リーダー委員会 委託先 研究開発項目 研究開発項目 制御・通信機器と制御ネットワークの セキュリティ対策技術の研究開発 社会実装向け共通プラットフォームの実現と セキュリティ人材育成 NTT,富士通,三菱電機,日立製作所, NTT,富士通,三菱電機,日立製作所, CSSC,ECSEC,ルネサス, CSSC,ECSEC,ルネサス, AVCネット,パナソニック AVCネット,パナソニック 産総研,日立製作所, 産総研,日立製作所, NTTコミュニケーションズ, NTTコミュニケーションズ, 慶大,名工大 慶大,名工大 内閣府 戦略的イノベーション創造プログラム(SIP)資料を基にNTTにて編集 セキュリティ運用WG (既存情報共有 組織等) 認証制度・関連法 制WG (既存認証組織等) 人材育成WG (大学・技術資格 組織等) 外部からのアドバイス 外部組織との連携 31 サイバーセキュリティとは 近年のサイバー攻撃の動向 国のサイバーセキュリティ戦略(日本)の動向 サイバーセキュリティ先進国(米国)の動向 NTTグループの取り組み (サイバー攻撃に対するリスクマネジメント) 今後に向けて 32 レジリエンスの構築 抑止 予防 従来 攻撃 検知 回復 攻撃をできるだけ防ぐ 今後 防ぐことが困難 攻撃をできるだけ防ぐ 攻撃 侵入 33 今後に向けて IoTの進展で、サイバー空間が実世界とつながり、 サイバー攻撃による影響大という認識(人命に関わる重大事故) IoTの時代にふさわしいサイバーセキュリティ戦略 サイバーリスクの管理は、経営課題 ー やむを得ない「費用」ではなく、積極的な経営への「投資」 ー 34 今後に向けて サプライチェーン全体でのサイバーセキュリティの確保 脅威情報の共有、分析作業の分担等の業界連携 35 ご清聴いただき、ありがとうございました