Comments
Description
Transcript
ダウンロードはこちら
我が国のサイバーセキュリティ政策に関する 現状と今後 (参考資料) (参考)我が国における基本戦略・推進体制の推移 省庁HP 連続改ざん 2000.1 年度 各省 における 試行錯誤 Webサーバの 脆弱性への攻撃 DNSキャッシュ フィッシング詐欺 ポイズニング スパイウェア 米国 誘導型攻撃 同時多発 ボットネット の出現 Winny テロ による攻撃 2001.9 2000 2004 2005 e-Japan 戦略 総合的な対策基盤づくり の推進 IT新改革戦略 (2003.7) (2006.1) 【中長期計画】 基本戦略 政府の役割・ 機能の見直し e-Japan戦略Ⅱ (2001.1) (2000.2設置) 2010 サイバー攻撃事態発生を念頭においた 危機管理等の観点からの対処態勢 の整備等の取組みの重点化 「事故前提社会」への対応力強化など成熟 した情報セキュリティ先進国へ向けた取組み i-Japan 戦略2015 新たな情報通信技術戦略 (2010.5) (2009.7) 2013 2015 リスクの深刻化の進展に対応 した国家安全保障・危機管理 等の観点からの取組みの強化 世界最先端IT国家創造宣言 (2013.6.14 IT総合戦略本部決定・閣議決定) (2013.6.10 情報セキュリティ政策会議決定) 国民を守る情報セキュリティ戦略 (2010.5.11 情報セキュリティ政策会議決定) 第1次情報セキュリティ基本計画 第2次情報セキュリティ基本計画 (2006.2.2 情報セキュリティ政策会議決定) (2009.2.3 情報セキュリティ政策会議決定) 2006 2007 2008 2009 2010 2011 ① 内閣官房情報セキュリティセンター(NISC) ② 情報セキュリティ政策会議 2012 サイバー セキュリティ 2013 (2005.4 設置) (2005.5 設置) ③ GSOC (2008.4 運用開始) NISCの 機能強化等 推進体制 内閣官房 情報セキュリティ 対策推進室 9.18 攻撃 サイバーセキュリティ戦略 (2004.12) 【年次計画】 よる不正送金 組織的高度化 新領域としての 重要インフラ サイバー空間 への攻撃 Gumblar 猛威 2009 2006 IT障害への対応も含めた サイバー攻撃への対応を 中心とした対策実施時期 制御システム 遠隔操作 米韓 Stuxnet攻撃 水飲場型攻撃 ウィルス DDos 感染PCに 標的型攻撃 攻撃 ④ CYMAT(2012.6 設置) Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 1 (参考)我が国におけるサイバーセキュリティ政策の推進体制 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部) 本部長 情報セキュリティ政策会議 内閣総理大臣 副本部長 情報通信技術(IT)政策担当大臣 内閣官房長官 総務大臣 経済産業大臣 本部員 本部長及び副本部長以外のすべての国務大臣 内閣情報通信政策監(政府CIO) 有識者 (事務局) 内閣官房 IT総合戦略室 室長(政府CIO) (2005年5月に設置) 議長 内閣官房長官 議長代理 情報通信技術(IT)政策担当大臣 構成員 国家公安委員会委員長 総務大臣 閣僚が参画 外務大臣 経済産業大臣 防衛大臣 IT利活用セキュリティ総合戦略推進部会 有識者(7名) 普及啓発・ 人材育成 専門委員会 技術戦略 専門委員会 重要インフラ 専門委員会 情報セキュリティ 対策推進会議 (CISO等連絡会議) (事務局) 内閣官房 情報セキュリティセンター (NISC 重要インフラ所管省庁 その他 文部科学省(セキュリティ教育) 等 重要インフラ事業者 等 センター長 (内閣官房副長官補[事態対処・危機管理担当]) 副センター長(内閣審議官) 内閣参事官 情報セキュリティ補佐官 政府機関・情報セキュリティ横 断監視・即応調整チーム(GS OC) 情報セキュリティ 緊急支援チーム (CYMAT) 協力 その他の 関係省庁 金融庁(金融機関) 総務省(地方公共団体、情報通信) 厚生労働省(医療、水道) 経済産業省(電力、ガス、化学、 石油、クレジット) 国土交通省(鉄道、航空、物流) 2005年4月に設置) 警察庁 (サイバー犯罪・攻撃の取締り) 庶務 総務省 (通信・ネットワーク政策) 協力 外務省 (外交・安全保障) 5省庁 経済産業省 (情報政策) 政府機関(各府省庁) Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 防衛省 (国の防衛) 企業 個人 2 サイバーセキュリティ戦略(平成25年6月10日情報セキュリティ政策会議決定)概要 (参考) Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 3 (参考)「サイバーセキュリティ戦略」における主な取組み 政府機関・独立行政法人等 「強靱な」 サイバー空間 (守り強化) 重要インフラ事業者 企業・一般個人 ●機微情報を守るためのリスク評価手法 の確立・統一基準の見直し ●重要インフラの範囲拡大や安全基準 見直し等行動計画の見直し ●GSOCの強化、CYMAT・CSIRTとの 連携による 的確・迅速な対応 ●政府機関やシステムベンダー等と の情報共有の強化 ●対処訓練の実施、警察・自衛隊等 の関係機関の役割整理 ●事業継続確保のための分野横断的 な演習 ●SNS・グループメールを含む新サー ビスに伴う新たな脅威への対応 ●重要インフラで利用される制御機器等 を国際標準に則って評価・認証するため の基盤構築 ●サイバー(3.18)訓練 ●スマートフォン不正アプリへの対応 ●情報セキュリティ月間・ 「サイバー セキュリティの日」創設 ●普及啓発プログラム(2011年情報セ キュリティ政策会議)の改訂 ●税制など中小企業のセキュリティ 投資の促進 ●ISP等による個人への感染に関する 注意喚起などIT 関係事業者の取組 ●ログ保存の在り方検討などサイバー 犯罪の事後追跡可能性の確保 「活力ある」 サイバー空間 (基礎体力) ●人材育成プログラム(2011年情報セキュリティ政策会議)の改訂 ●研究開発戦略(2011年情報セキュリティ政策会議)の見直し 〈注1〉 ●日米 日・ASEAN情報セキュリティ政策会議。各国局長級が参加。 ●日英 「世界を 率先する」 サイバー空間 (国際戦略) ●国際戦略の 策定【昨年10月】 組織体制 〈注2〉 ●日印 サイバー空間の脆弱性、脅威、攻撃に関する国際的取組の促進。 米・独・英・日等の政府機関、CERTが参加 ●日露 〈注3〉 ●日EU 重要インフラ防護等のベストプラクティス共有や国際連携等に関 する意見交換。米・英・独・日等の政府機関が参加。 等 ●日ASEAN ●共同意識啓発活動 ●サイバー空間の国際規範づくり等に関する会議【昨年10月:ソウル会議】 ●IWWN注2 ●MERIDIAN注3 ●NISCの機能強化(サイバーセキュリティセンター(仮称)への改組:2015年度目途) ・GSOCの強化 ・GSOC保有情報の重要インフラ 事業者との共有の仕組み ・必要な人材等の在り方 等 4 GSOC 政府機関・情報セキュリティ横断監視・即応調整チーム (参考) 8 【Government Security Operation Coordination team 】 ● 平成20年4月 GSOCの運用開始(8時間運用) ● 平成21年1月 24時間対応開始 ● 平成25年4月 現行GSOCシステム運用開始 ● 平成29年(2017年) 次期システムへ移行 攻撃及び その準備動作 A省 GSOC センサー 攻撃者 インターネット GSOC 標的型攻撃 メールの送付 NISC GSOCセンサー群 政府横断的な情報収集・監視機能 GSOC センサー B省 C省 GSOC センサー ①リアルタイム横断的監視 分析力の飛躍的向上 ②警告・助言 的確・迅速な情報共有による各 省庁の対応力向上 ③不正プログラムの分析・各 種脅威情報の収集 政府機関ホームページの障害監視と対応依頼 ソフトウエアの脆弱性対策情報等配信 未知のウイルスの解析とアンチ・ウイルスソフトでの防御 Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 5 (参考)GSOC、CYMATとCSIRTの連携強化: 政府機関における情報集約・支援体制の枠組み Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 6 (参考)「政府機関の情報セキュリティ対策のための統一基準群」の概要について 現行の統一基準群の課題と改定の概要 ◆ 不明確で分かりにくい基準の明確化 ◆ 新たな脅威への対応のための基準の追加 主な改定内容(※) 標的型攻撃のイメージ ◆ 標的型攻撃への対策 ◆ 分かりやすく、守られやすい基準 定義や用語の明瞭化・簡潔化、冗長表現の排除、名宛人 標的型攻撃から守るべき重点業 毎の遵守事項の集約化、形骸化した規定の見直し等によ 務等を特定し、関係する情報シス 従来の外壁防護 (ファイアウォール等) り、分かりやすく、守られやすい基準作りを目指す。 テムについて、内部侵入を早期発 ・特定の組織の情報に狙い 見し、活動を困難化するための対 ・従来の外壁防護を無効化 策を計画的に講ずる。 内部対策の強化が重要 Z (現行の統一基準における規定の例) 行政事務従事者は、障害・事故等の発生を知った場合には、 それに関係する者に連絡するとともに、統括情報セキュリティ 責任者が定めた報告手順により、障害・事故等に対応する責 任者、及び障害・事故等に対応する責任者を通じて最高情報 ◆ サプライチェーン・リスクへの対策 情報システムの構築等の外部 委託の際、委託先における不正 機能の混入防止のため、 厳正 な管理を要求。 B国で 組立 セキュリティ責任者にその旨を報告すること。 A国製 部品 C国製 ソフト D国に 下請け ただし、緊急やむを得ない事情により、障害・事故等に対応する責任者に 報告 府省庁 端末 することができない場合は、定められた 報告手順に従って、最高情報セキュリ ティ責任者に報告すること。 (見直し案) E国で インストール 行政事務従事者は、情報セキュリティインシデントを認知した場合には、各府省庁 の報告窓口に速やかに連絡し、指示に従うこと。 (※「サイバーセキュリティ戦略」(平成25年6月情報セキュリティ政策会議決定)において決定された事項を踏まえ検討。) Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 7 (参考)標的型メール攻撃の概要と対策 脅威の概要 標的型メール攻撃のイメージ 特定の組織を 狙って職員等になりすま した メールを送付し、添付ファイルやURLを開かせ ることによって不正プログラムに感染させる。 不正プログラムを遠隔操作して内部侵入を繰 り返し、重要情報の窃取・破壊等を実施。 インターネット ①職員等になりすま してメールを送付 秘秘秘 <最近の事例> • 2012年11月 一部の独立行政法人が「なりすましメール」による不 正プログラムに感染し、情報漏えいした可能性があることが判明 主な対策 ③不正プログラム を遠隔操作して 重要情報を摂取 ②添付ファイルを開くことで 不正プログラムに感染 対策の概要(例) 不審なメールを検出する仕組みの整備、対応 能力を向上する(SPFの検証、教育・訓練、等)。 感染防止を目的とした入口対策のほか、遠隔 操作による攻撃の早期検知等を目的とした内 部対策を実施する。 <統一基準群(平成26年度版)における対策事項> • 6.2.4項 標的型攻撃対策 • 6.2.1項 ソフトウェアに関する脆弱性対策 • 7.2.1項 電子メール 等 インターネット 外部との不正 通信を検知 秘秘秘 内部に侵入 した攻撃を 検知 不審メールの 検出 Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 拡大の困難度を上げる (重要サーバと一般端末を セグメント分離等) 8 (参考)水飲み場型攻撃の概要と対策 脅威の概要 標的組織がよく閲覧するWebサイトを改ざんし、 閲覧した端末を不正プログラムに感染させる。 水飲み場型攻撃(イメージ) 水飲み場に集まる動物 を狙うかのような攻撃 標的組織がよく 閲覧するサイト ブラウザの未知の脆弱性を悪用した攻撃(ゼ ロデイ攻撃)の場合もあり、未然防止は困難。 不正プログラムを遠隔操作して内部侵入を繰 り返し、重要情報の窃取・破壊等を実施。 <最近の事例> • 2013年8月~9 月 中央省庁や大手企業の少なくとも20 機関を 狙った標的型サイバー攻撃(標的組織のIPアドレスからのサイト閲 覧者だけが感染するもの)が発生 主な対策 攻撃者が 改ざんして 不正プログラム を仕掛ける インター ネット 標的以外の組織が閲覧しても攻撃が行われない 場合もあるため、発見されづらい傾向にある。 対策の概要(例) 感染の未然防止は困難であるため、組織内部 へ侵入されることを前提に内部対策を実施。 内部対策としては、以下が挙げられる。 インターネット 外部との不正 通信を検知 • 内部に侵入した攻撃を早期検知して対処 • 侵入範囲の拡大の困難度を上げる • 外部との不正通信を検知して対処 <統一基準群(平成26年度版)における対策事項> • 6.2.4項 標的型攻撃対策 等 Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 秘 秘秘 内部に侵入 した攻撃を 検知 拡大の困難度を上げる (重要サーバと一般端末を セグメント分離等) 9 (参考)政府機関における情報及び情報システムの重要度等に 応じた対策の重点化:リスク評価等の手法の枠組み構築など ○ 標的型攻撃等の脅威の顕在化やスマートフォン及びクラウド技術の普及等に対応して、各府省庁が達成目標や 実施計画を策定し、PDCAサイクルの適正性やガバナンス機能の有効性を確認するための枠組みの構築等に係る 「政府機関統一基準群」を改定。 ○ 以上においては、各府省庁の最高情報セキュリティ責任者(CISO)の指揮の下、機微な取扱いが必要な情報 を扱う業務等を特定してリスク評価を行い、標的型攻撃等から重要な情報資産を守るために必要な情報セキュリ ティ対策をメリハリをもって計画的・重点的に実施するための枠組みを構築。 【リスク評価等に基づく最高情報セキュリティ責任者による情報セキュリティガバナンスの概要】 リスク評価等の手法及び標的型攻撃等 の対策[注]について、産官学の専門家に よる検討会(委員長:佐々木良一 東京電機大学 教授/内閣官房情報セキュリティ補佐官)を開催。 ガイドラインを策定。 [注] 情報システム内部への侵入等の攻撃シナリオと それに対応する一連の情報システムの設計、監視 強化等の対策セット Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 10 (参考) 全府省庁等の参加による大規模な政府サイバー攻撃対処訓練 サ イバー 【3・18訓練】の実施結果について サ イバー 我が国に対するサイバー攻撃がより複雑・巧妙化しつつある状況を踏まえ、複数の政府機関を同時に狙う サイバー攻撃が発生した際の対処について、内閣官房情報セキュリティセンター(NISC)と各府省庁及び 重要インフラ事業者等との間の情報収集・共有訓練、並びにCYMAT要員による緊急対処訓練を組み合 わせて実施し、関係者間の連携習熟を行った。 実 施 日 時 平成26年3月18日(火)13時00分~17時00分 実 施 場 所 内閣府別館9階会議室、各府省庁 訓練対象者 各府省庁の担当者(NISC窓口及びCSIRT(インシデント対応チーム)) CYMAT(サイマット)要員(省庁横断的にインシデント対応を支援するチーム) NISC職員、重要インフラ事業者等における情報共有窓口 等 当日の様子 菅官房長官訓示 CYMATによる緊急対処訓練 訓練全景 Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 情報収集・共有訓練 11 (参考) 重要インフラの情報セキュリティ対策に係る第3次行動計画 9 <出典:第35回重要インフラ専門委員会資料(2014年1月10日)> Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 12 (参考) 「重要インフラの情報セキュリティ対策に係る第3次行動計画」の概要について これまでの取組み 重要インフラの情報セキュリティ対策に係る第2次行動計画 重要インフラ 「他に代替することが著しく困難なサービスを提供する事業が形成する国民生活及び経 済活動の基盤であり、その機能が停止、低下又は利用不可能な状態に陥った場合に、 わが国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるもの※」 との定義 ※サイバーセキュリティ戦略(平成25年6月10日 情報セキュリティ政策会議決定)より抜粋 環境の変化 IT依存度の高まり → システム障害時の影響の広範囲化・対応の困難化 複雑化・巧妙化するサイバー攻撃 行動計画の意義 重要インフラ防護に責任を有する政府と自主的な取組を進める重要インフラ事業者等 との共通の行動計画(注) (参考) 第1次行動計画 (平成17年12月13日 情報セキュリティ政策会議決定) 第2次行動計画 (平成21年2月3日 情報セキュリティ政策会議決定) (注) 日本再興戦略-JAPAN is BACK-(平成25年6月14日閣議決定)及びサイバーセキュリティ戦略に おいて今年度内に新たな行動計画を策定する方針を決定 主な施策 1.安全基準等の整備及び浸透 2.情報共有体制の強化 3.共通脅威分析 4.分野横断的演習 等 主な課題 社会・技術面での環境変化を踏まえた改善・補強が必要な箇所が存在 1.重要インフラ事業者等のPDCAサイクルとの整合に基づく指針の見直し 2.大規模IT障害発生時の対応体制の明確化 3.演習・訓練に係る関係主体の連携の在り方の模索 4.環境変化・脅威に適切に対応するための取組 5.広報公聴、国際連携の強化に追加すべき基盤強化に資する取組 等 第2次行動計画の基本的な骨格を維持しつつ、 第2次行動計画の課題等を踏まえた修正・補強 重要インフラの情報セキュリティ対策に係る第3次行動計画 施策群の構成と主要なポイント 1. 安全基準等の整備及び浸透 対策途上や中小規模の重要インフラ事業者等への情報セキュリティ対策の「成長モデル」の訴求 2. 情報共有体制の強化 平時の体制の延長線上にある大規模IT障害対応時の情報共有体制の明確化 3. 障害対応体制の強化 関係主体が実施する演習・訓練の全体像把握と相互連携による障害対応体制の総合的な強化 4. リ ス ク マ ネ ジ メ ン ト 重要インフラ事業者等におけるリスクに対する評価を含む包括的なマネジメントの支援 5. 防 護 基 盤 の 強 化 関連国際標準・規格や参照すべき規程類の整理・活用・国際展開 等 重要インフラ分野を現行の10分野から13分野に拡大(化学、クレジット及び石油の各分野を追加) 行動計画の要点として、「経営層に期待する在り方」等を示すとともに、PDCAサイクルに基づく事業者等の対策例とこれに関連する国の施策を一覧化 客観的な評価指標の提示とこれに基づく定期的な評価・改善の実施 Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 13 (参考) 「新・情報セキュリティ人材育成プログラム」の概要について サイバーセキュリティ戦略で示された課題 情報セキュリティに係るリスクの深刻化に対応するためには、 ○人材の量的不足の解消に向け 積極的な取組が必要であるとともに、教育だけ では得られない突出した能力を有する人材の確保も大きな課題。 ○そのためには、社会全体で育成し活用するための仕組みが必要。 人材の量的・質的不足 情報セキュリティ従事者 約26.5万人 うち質的不足 約16万人 さらに量的不足 約8万人 ⇒これら人材の雇用の受け皿も不可欠 取組の方針 我が国の情報セキュリティの水準を高めるため、人材の「需要」と「供給」の好循環を形成する。 【需要】 経営層の意識改革 ○組織の経営層 ・経営層の意識改革を促し、情報セキュリティを経営戦略として認識させるための取組を推進。 あ あ ・製品・サービス調達における情報セキュリティの要件化等を通じ、投資意欲を喚起して、人材の需要を創出。 ○実務者層のリーダー層 あ ・経営戦略の視点から情報セキュリティの課題や方向性を考え、経営層と実務者層の橋渡しができる能力を育成。 【供給】 人材の「量的拡大」と「質的向上」 ○IT技術者等に、情報セキュリティを必須能力として位置付け、訓練・演習教材等の作成や能力評価基準・資格の あり方の検討を進める。 ○高度な専門性及び突出した能力を有する人材の発掘・育成を推進するとともに、実社会での活躍を促進。 ○グローバル水準の人材の育成に向け、国際的な体験や情報共有を通じて人材が研鑽を積む環境を構築。 ○政府機関は自ら率先して、情報セキュリティ上のリスクに対応できる職員の採用・育成や研修・訓練等を強化。 ○教育機関(初等中等教育機関含む)の実践的なIT教育を充実させるとともに、情報セキュリティに関する教員養成を推進。 (参考)「情報セキュリティ研究開発戦略(改定版)」 (H26.7.10情報セキュリティ政策会議決定) サイバーセキュリティ戦略 (2013年6月策定) において示された ○ サイバー攻撃の検知・防御能力の向上 ○ 制御システム、ICチップなど社会システム等を保護するためのセキュリティ技術の確立 ○ ビッグデータ(パーソナルデータ等)利活用等の新サービスのための技術開発 等 を推進する観点から、「情報セキュリティ研究開発戦略」を改定 情報セキュリティ研究開発の推進方針 1.サイバー攻撃の検知 ・ 防御能力の向上 ・分散しているサイバー攻撃情報等の共有のための組織等の連携強化 ・研究者等へ政府の有するサイバー攻撃の検体等の提供等を検討 2.社会システム等を防護するためのセキュリティ技術の強化 ・制御システム等のセキュリティ技術の国際標準化・認証制度等を推進 3.産業活性化につながる新サービス等におけるセキュリティ研究開発 ・今後発展が期待されるIT利用分野で上流工程からセキュリティ品質の組込を推進 4.情報セキュリティのコア技術の保持 ・暗号等のコア技術の保持は、我が国の新規産業創出や安全保障等の観点から重要 であり維持・強化 5.国際連携による研究開発の強化 ・各国が「強み」を有する技術を組合せ発展させるため、研究者受入等国際連携を推進 情報セキュリティ研究開発における重要分野 (※ 左記の観点を踏まえ、重要分野を整理) (1)情報通信システム全体のセキュリティの向上 サイバー攻撃の検知、認証、次世代ネットワーク 等 (2)ハード・ソフトウェアセキュリティの向上 制御システム、デバイス、ソフトウェアの安全性確保 等 (3)個人情報等の安全性の高い管理の実現 プライバシー保護、パーソナルデータ利活用 等 (4)研究開発の促進基盤の確立と理論の体系化 理論体系化、調査研究、標準化、評価、暗号技術 等 (5)発展分野でのセキュリティ研究開発 研究開発の効果・成果を高めるための方策等 1.研究成果の社会還元の推進 2.必要な研究開発リソースの確保と柔軟性確保 3.情報セキュリティ技術と社会科学など他分野との融合 医療健康、農業、次世代インフラ、ビッグデータ、 自動車のネットワーク接続 等 Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 15 16 (参考)情報セキュリティ月間について ○国民の情報セキュリティに関する意識を向上させるため、⾏事の開催や広報等の普及啓発活動を集中実施。 ○5年目となる平成25年度は、ロゴマークの活用やアニメ動画によるPR等、身近で親しみやすい取組を新たに推進。 イベントの開催 キックオフ・シンポジウム (2/3) 全国8ブロックにおいて各ブ ロックにおける基軸となる講 演会等を開催 月間のキックオフイベントとして、サイ バーセキュリティの現状と対策等 に関するシンポジウムを開催 ※ イメージ 様々な関連行事を集中的に開催 【主な行事】 情報セキュリティに関する講習等(都道府県警察) 小中高校等を対象に、サイバー犯罪の現状、 検挙事例等を説明 インターネット安全教室(経済産業省等) 家庭や学校におけるインターネット利用の基礎知識 を学習 最新の情報セキュリティ脅威を踏まえ た政府職員向けの勉強会を開催 月間に関するトップメッセー ジを発出 記者会見、HPを通じ周知 ロゴマークの活用 e-ネット安心講座(総務省、文部科学省等) 保護者等を対象とした子供たちをネットトラブルから 守るための講座 情報セキュリティ勉強会 (2/21) トップからの メッセージ発信 その他官民による関連行事 全国ブロック別イベント 各種媒体の活用 ビデオメッセージ、マスメディ ア、電車広告、メールマガ ジン、Twitter、政府広報 等を通じ各種情報を提供 専用HPの更新 「国民を守る情報セキュリ ティサイト」に、月間用ペー ジを開設 「情報セキュリティ有識者 コラム」を掲載 等 ※ イメージ ※ 商標登録申請中 官民連携の推進 イベントの共催、講師派遣等 周知用素材の作成・配布 ポスター、バナー アニメ動画 月間用バナーと企業等バナー を相互のウェブサイトに掲載 17 ※ イメージ Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 17 (参考)2014年 情報セキュリティ月間 リーフレットより オーエス 1 9 インターネット利用に関する被害相 談として、詐欺や架空請求の電子メー ルが届く、コンピュータウイルスによ り開いているウェブページをどうして も閉じることができないというような 相談が増えています。 パソコンやスマートフォンのOSや ソフトウェアは、新たにひろまるコ ンピュータウイルスの攻撃に対抗で きるよう、頻繁に改良されています。 製造元から無料で配布される最新 の改良プログラムを入手して、コン ピュータウイルスの攻撃に対抗でき る強い環境を手に入れましょう。 このようなことに遭遇したら、一人 で悩まず、内容に応じ各種相談窓口(背 表紙参照)に相談しましょう。 2 パソコンやスマートフォンの起 動画面にパスワードを設定してお くことは、自宅に鍵をかけるのと 同じように大切なことです。 パスワードは他人に知られない ようにする必要があります。メモ に残さざるを得ない場合、人の目 に触れない場所に保管しましょう。 4 6 身に覚えのない電子メールに は、コンピュータウイルスが潜 んでいる可能性があります。 ネットショッピングでは、品物 だけでなく、見たい映画や聴きた い音楽も購入することができます。 ウイルス感染を防ぐために、 身に覚えのない電子メールに添 付されたファイルを開いたり、 ネットショッピングをするとき は、詐欺などの被害に遭わないよ うに、信頼できるお店から買うよ うにしましょう。身近な人からお 勧めのお店を教わるのも安心です。 ユーアールエル URL(リンク先)をクリックし たりしないようにしましょう。 8 大切な情報を保存しているパソコ ン、スマートフォンなどを自宅の外 に持ち出すときは、機器やファイル にパスワードを設定し、貴重品を扱 うのと同様、なくしたり盗まれない ように注意して持ち歩きましょう。 アイディー 3 金融機関を名乗り、銀行口座番号 や暗証番号、ログインIDやパスワー ド、クレジットカード情報の入力を 促すようなメールが届いた場合、教 えてはいけません。 身に覚えのないメールは返信せず に無視するなど、教えないよう注意 しましょう。 5 7 わたしたちの世界に風邪のウイルス がひろまっているように、コンピュー タの世界にもコンピュータに悪さをす るウイルスがひろまっています。 家族や友人と一緒に撮影した写真 など、思い出がつまった情報は、パ ソコンの故障などにより失われてし まうと、取り返しがつきません。 ウイルスに感染しないように、コン ピュータにウイルス対策ソフトを導入 しましょう。(ウイルス対策ソフトは 家電量販店などで購入できます) 大切な情報は、別のハードディス クなどに複製して、保管しておきま しょう。 Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 18 参考 新・情報セキュリティ普及啓発プログラム概要(H26.7.10 背景 課題 情報セキュリティ政策会議決定) ・若年層から高齢者までのあらゆる世代、個人・家庭・職場・公共施設などのあらゆる場面、 国民1人1人の日常生活や社会経済活動等のあらゆる活動にサイバー空間が拡大・浸透。 いつでも・どこでも・何でも・誰でも ・オリンピック・パラリンピック東京大会が開催される2020年を見据え、我が国として情報 セキュリティ水準の向上が急務。 国民1人1人や企業が自ら具体的な情報セキュリティ対策を進んで実行できるよう、以下の課題への対応が必要 ○一般利用者等における認識の更なる醸成 ○地域における普及啓発活動の活性化 ○主体的な普及啓発の促進 今後の取組方針 基本的な考え方 推進体制 国民全体の情報セキュリティへの関心・理解度・対応力の強化・増進を図る 産学官民の多様な主体で構成する協議会形式の場を設け、国民運動として普及啓発活動を推進していく体制を構築。 各主体が自律的に取り組める環境を整備し、国民1人1人に身近な地域との連携を推進。 主な取組 ①総合的・集中的な普及啓発施策の更なる推進 …・「情報セキュリティ月間」の期間を拡大(2月~3月18日<サイバー訓練の日>)し、広く国民に啓発。 ・期間を問わず、ロゴマークやメディア等を活用し、国民に親しみやすい取組を推進し、取組の定着化を図る。 ・国民1人1人が、サイバー空間の脅威から自ら身を守ることができるよう、国民運動として対策の実践や訓練等を促進。 ②地域における取組の促進 …地域における各主体の活動や情報共有を促進。協議会形式の場を通じ、地域発産学官民連携による取組を全国的な動きに発展。 ③特に注力が必要な層に対するきめ細やかな普及啓発活動の推進 …国民全体を対象とした活動に加え、特に注力が必要なターゲット(初等中等教育層、学ぶ機会が少ない層、関心が薄い層、中小企業含めた企業等) に対し、協議会形式の場も活用してきめ細やかな普及啓発を推進。 Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 19 (参考)サイバーセキュリティ国際連携取組方針 基本方針 ① グローバルな共通認識の斬新的な醸成 ② グローバルコミュニティへの我が国の貢献 ③ 技術フロンティアのグローバルな拡大 重点取組分野 ① サイバー事案への動的対応の実践 ② 動的対応に備えた「基礎体力」の向上 ③ サイバーセキュリティに関する国際的なルール作り 地域的取組 ① ② ③ ④ アジア太平洋地域 欧米 その他の地域 多国間枠組 Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 20 (参考)国際的な政策対話 ロシア EU ●サイバーセキュリティ等安全保障・ 防衛分野での協力や交流の深化 ●重要インフラ防護や官民の情報共有等の取組の 共有、意識啓発や政策動向の意見交換 ●第1回日EUインターネットセキュリティフォーラム:平成24年11月 イギリス ○日中韓サイバー 協議 ●国際規範づくり、安全保障分野での課題、 サイバー犯罪への取組、重要インフラ防護、 経済・社会的側面の取組等に関する意見交換 ●第1回日英サイバー協議:平成24年6月 基本的な考え方 「情報の自由な流通の確保」という基本的な 考え方の下、民主主義、基本的人権の尊重 及び法の支配といった価値観を共有する国や 地域とのパートナーシップ関係を 多角的に構築・強化。 リスクの グローバル化 アメリカ ●脅威認識の共有、国際規範づくり、 重要インフラ防護、防衛分野のサイ バー課題等に関する意見交換 ●第2回日米サイバー対話: 本年4月@D.C. 国際戦略の策定 ●多角的なパートナシップの強化 や技術の国際展開等の加速化 インド ●安全保障分野での課題、サイバー犯罪 への取組、重要インフラ防護、経済・社会 的側面の取組に関する意見交換 ●第1回日印サイバー協議:平成24年11月 ASEAN ●意識啓発、人材育成、技術協力、情報共有体制の構築等での連携 ●サイバーセキュリティ協力に関する閣僚政策会議:平成24年9月@日本 ●共同意識啓発活動の実施:平成24年10月 多国間・マルチステークホルダーの取組み (注)エストニア、豪州、EU、フランス、イスラエル等の間でサイバー協議立ち上げに合意。 サイバー空間の国際規範づくり等に関する会議 ●サイバー空間における自由と安全保障の両立、開放性や透明性、マルチステークホルダーの重要性、サイバー空間における国際行動規範づくり,サイバー犯罪 条約,キャパシティ・ビルディング、サイバー空間における従来の国際法や国家間関係を規律する伝統的規範の適用、信頼醸成措置等に関する対話。 ●60ヵ国の政 府機関,国際機関,民間セクター,NGO等が参加。 ●ソウル会議:平成24年10月@ソウル MERIDIAN ●重要インフラ防護等のベストプラクティスの共有や国際連携方策等に関する意見交換。 ●米・英・独・日等の重要インフラ防護担当者が参加。 IWWN ●サイバー空間の脆弱性、脅威、攻撃に関する国際的取組の促進。 ●米・独・英・日等の政府機関、CERTが参加。 Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 21 (参考)日・ASEAN情報セキュリティ意識啓発アニメーションの制作について 日本及びASEANは、2009年2月の「日・ASEAN情報セキュリティ政策会議」の立上げ以降、意 識啓発をはじめ情報セキュリティ分野の連携を強化。 ASEAN地域でのスマートフォンの急速な普及を踏まえ、日本及びASEAN10カ国で協力して、ス マートフォンの情報セキュリティに関する意識啓発アニメーションを作成。2012年に作成したア ニメーションに続く第2弾で、今回、はじめて、ASEAN10カ国語の字幕版を作成。 日本でも、本年2月の情報セキュリティ月間で、各国語版の本編発表に先立ち、概要版を公表。 4月25日(金)に日・ASEAN情報セキュリティ意識啓発セミナーを、内閣官房情報セキュリティ センター及び日本アセアンセンターで共催し、10カ国の大使等※にアニメーションを贈呈。 セミナーには約100名が参加。 ※ブルネイ、ラオス、マレーシアは大使、ベトナムは臨時代理大使、カンボジア、ミャンマー、フィリピン、タイは公使・次席が出席。 日・ASEAN情報セキュリティ意識啓発セミナーの模様 セミナーでのケントン・ヌアンタシン ラオス駐日特命全権大使挨拶 Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 贈呈式の模様 22 (参考)各国で翻訳した字幕付アニメーション Be Aware, Secure, and Vigilant Information Security Use Your Smartphone with Confidence (ブルネイ) (カンボジア) (マレーシア) (フィリピン) (ラオス) (インドネシア) (ミャンマー) (シンガポール) (タイ) Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. (ベトナム) 23 (参考)我が国における組織体制の強化に向けた方針 サイバーセキュリティ戦略(平成25年6月情報セキュリティ政策会議決定) NISCについては、世界を率先する強靭で活力あるサイバー空間を構築するための我が国の司令塔として、機能強化を行う。具体 的には、GSOCの抜本的な強化を図るとともに、サイバー攻撃に関するインシデントに関する情報等の集約、 サイバーセキュリティに関する国内外の動向等の実態及び政府の関連施策の現状に関する分析・周知、政府機関及び 独立行政法人等の関連専門機関等に分散している各種機能の有機的な連携による動的な対応等を強化する。その際、 国際的なインシデント対応における我が国の窓口となるCSIRT機能の在り方についても併せて検討する。 以上を踏まえ、NISCについては、専門職員の採用や育成等の人事管理による人材の確保や権限等の必要な組織体制を整備す ることにより、2015年度を目途として「サイバーセキュリティセンター」(仮称)に改組するものとする。 国家安全保障戦略(平成25年12月国家安全保障会議決定・閣議決定) サイバーセキュリティを脅かす不正行為からサイバー空間を守り、その自由かつ安全な利用を確保する。また、国家の 関与が疑われるものを含むサイバー攻撃から我が国の重要な社会システムを防護する。このため、国全体として、組織・ 分野横断的な取組を総合的に推進し、サイバー空間の防護及びサイバー攻撃への対応能力の一層の強化を図る。 そこで、平素から、リスクアセスメントに基づくシステムの設計・構築・運用、事案の発生の把握、被害の拡大防止、原因 の分析究明、類似事案の発生防止等の分野において、官民の連携を強化する。また、セキュリティ人材層の強化、制御 システムの防護、サプライチェーンリスク問題への対応についても総合的に検討を行い、必要な措置を講ずる。 さらに、国全体としてサイバー防護・対応能力を一層強化するため、関係機関の連携強化と役割分担の明確化を図ると ともに、サイバー事象の監査・調査、感知・分析、国際調整等の機能の向上及びこれらの任務を担う組織の強化を含む 各種施策を推進する。 かかる施策の推進に当たっては、幅広い分野における国際連携の強化が不可欠である。このため、技術・運用両面に おける国際協力の強化のための施策を講ずる。また、関係国との情報共有の拡大を図るほか、サイバー防衛協力を推進 する。 Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 24 (参考)NISCの機能強化に向けた検討事項等 サイバー脅威の高度化・深刻化 サイバー脅威の甚大化 NISCの機能強化の方向性 能動的な役割の強化 機能強化に向けた検討事項 ●GSOCの機能の強化 ●標的型メール攻撃など機微情報 や技術情報への攻撃の急増 ●NISCの知見が各府省等に活用 される仕組みの構築 ●重大なインシデントに関する原因 究明など事後調査機能の強化 ●重要インフラへの攻撃の増加 ●東京オリンピック・パラリンピックに も備え先行的に政府の体制強化 ●専門的人材の配備・育成 (分析研究員の配置等) サイバー脅威の拡散 横串的機能の強化 ●スマートフォンの普及等に伴う リスクの拡散 ●各府省等のセキュリティ水準の 向上に向けたNISCの積極的貢献 ●自動車、制御系システム等へ のリスクの高まり ●関係省庁のセキュリティ政策間の 組織・分野横断的な実効性の確保 サイバー脅威のグローバル化 情報集約・国際連携機能の強化 ●国境を越えたサイバー攻撃等 の急増 ●脅威情報等の集約・共有化の 促進 ●国家機関の関与が疑われる 攻撃の顕在化 ●国際連携取組方針に基づく米、 EU、ASEAN等との連携強化 ●各府省等の情報システムに関する セキュリティ監査機能の強化 ●ITセキュリティ投資に関する 評価機能の強化(政府CIOと連携) ●関係省庁のセキュリティ政策間の総合 調整機能の強化(政府CIOと連携) ●政府機関・重要インフラのインシ デント情報の集約機能の強化 ●官民にまたがる複数の国際的 窓口機能の在り方の整理 ●政府間連携のための人員拡充 Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 25 参考 「我が国のサイバーセキュリティ推進体制の機能強化に関する取組方針(案)」の概要 H26.7.10 情報セキュリティ政策会議資料 1.機能強化の必要性 ●あらゆる活動のサイバー空間への依存の高まりにより、リスク が深刻化(甚大化・拡散・グローバル化) ●「世界最高水準のIT社会」をIT利活用においても実現する ことが成長戦略の柱の1つ ●国際的な連携の強化が必要な諸外国においても、積極的 な体制強化が実施 ●2020年東京オリンピック・パラリンピックに向けた対策の強化 が必要 我が国の「サイバーセキュリティ」強化のための推進体制の機能強化が不可欠 2.機能強化に向けた方針 IT社会の形成を目的とし、民間の主導的役割等を基本理念 とするIT基本法の基本的枠組みは今後も堅持することが適当 国家の安全保障・危機管理上、国の主導的役割を定め、マル チステークホルダーの相互連携によるサイバー空間の防護が必要 IT社会の形成及びサイバー空間の防護のための関係者の役割を明確化し、それが果たされるための国の基本的施策が必要 「サイバーセキュリティ」に関する施策を総合的かつ効果的に推進するための体制を整備することが必要 現状:法的な根拠・権限が不明確 3.機能強化に向けた取組 GSOC…Government Security Operation Coordination team (政府機関情報セキュリティ横断監視・即応調整チーム) 今後:法制化を含む検討を通じ、事務・権限を明確化 内閣 IT戦略本部 情報セキュリティ 政策会議 NISC 内閣 NSC 官民における統一的・横断的な対策 の推進【IT本部長決定】 基本戦略の立案その他官民における 統一的、横断的な対策の推進に係る 企画立案・総合調整【総理大臣決定】 NSC…National Security Council(国家安全保障会議) NISC…National Information Security Center(内閣官房情報セキュリティセンター) IT戦略本部 緊密連携 サイバーセキュリティ 戦略本部※ 緊密 連携 NSC ・ サイバーセキュリティ戦略案の ・ サイバーセキュリティに 迅速・強力に補助 作成(予めIT戦略本部・NSC 関する重要政策の基本 から意見聴取)、政府機関の 内閣サイバーセキュリティ官 方針の企画立案・総合 基準策定・監査・重大インシ (仮)及び同官室(仮) 調整等 デントの原因究明等の評価等 ・ GSOC機能・国際窓口 ・ 行政機関からの資料等提出義務、行政機関に対する勧告権等 機能 (※ 第186回通常国会に議員立法により提出された「サイバーセキュリティ基本法案」を参照。) 2015年度を目途に「サイバーセキュリティ戦略本部」及び「内閣サイバーセキュリティ官(仮称)」へ強化 Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 26 (参考)サイバーセキュリティ基本法の概要 27 (参考)サイバーセキュリティ戦略本部の機能・権限(イメージ) 28