経済産業省商務情報政策局
サイバーセキュリティ課長
奥家敏和
目次
1.はじめに~サイバー攻撃の脅威レベルの向上と海外の動き
サイバー攻撃の脅威レベルの増大(サプライチェーンを通じた攻撃(水平的脅威))ランサムウェア”WannaCry”の猛威
サイバー攻撃の脅威レベルの増大(サプライチェーンを通じた攻撃(水平的脅威))台湾積体電路製造(TSMC)のランサムウェア感染事案
サイバー攻撃の脅威レベルの増大(サプライチェーンを通じた攻撃(水平的脅威))携帯端末に不正プログラムが仕掛けられた事例
サイバー攻撃の脅威レベルの増大(情報システムを越えて制御システムに達する攻撃(垂直的脅威))制御系にまで影響が波及
(参考)米国電力事業者を標的とした北朝鮮によるサイバー攻撃
取引先へのサイバーセキュリティ対策の遅れ
セキュリティインシデントの検知に要する日数
攻撃ライフサイクルの段階毎の検知状況
欧米において強化される『サプライチェーン』サイバーセキュリティへの要求
2.産学官の検討体制の構築~産業サイバーセキュリティ研究会
3.「Society5.0」において必要なセキュリティ対策~サイバー・フィジカル・セキュリティ対策フレームワークの策定
サイバー・フィジカル・セキュリティ対策フレームワークを策定する目的
・「Society5.0」、「Connected Industries」の実現へ向けて、産業構造、社会の変化に伴うサイバー攻撃の脅威の増大に対応することが必要。
・このため、産業に求められるセキュリティ対策の全体像を整理し、産業界が活用できる『サイバー・フィジカル・セキュリティ対策フレームワーク』の策定を進めている。
1.各事業者がフレームワークを活用することで期待される効果
2.フレームワークの特徴
フレームワークの構造~「Society5.0」型サプライチェーン“価値創造過程”への対応
・あらゆるものがつながるIoT、データがインテリジェンスを生み出すAIなどによって実現される「Society5.0」(人間中心の社会)、「Connected Industries」では、製品/サービスを生み出す工程(サプライチェーン)も従来の定型的・直線的なものとは異なる、多様なつながりによる非定型の形態を取ることになる。
・本フレームワークでは、このような「Society5.0」型サプライチェーンをこれまでのサプライチェーンとは区別して認識するため、価値創造過程(バリュークリエイションプロセス)と定義し、「Society5.0」、「Connected Industries」によって拡張したサプライチェーンの概念に求められるセキュリティへの対応指針を示す。
三層構造アプローチの意義
3つの層には、価値創造過程において確保されなければならない機能・役割が存在する。
・例えば、各層において以下で示すようなことが確保されていなければ、価値創造過程は成立をしないことになる。
-第1層では生産された製品等-信頼できる企業が信頼できる生産活動によって仕様どおりの製品やサービスを供給しているか否か
-第2層ではセンサーで読み込まれたデータ等-フィジカル空間における情報を、センサーなどのIoT機器が正確にデジタル化し、サイバー空間に“転写”しているか否か
-第3層ではデータ分析で得られたデータ等-収集する過程で改ざんされていないデータを適切な方法で加工した、信頼できるデータを活用できるか否か
・本フレームワークでは、各層で創造される価値の持つ特徴を踏まえた対応の方針を示す。
価値創造過程に関わる6つの要素と構成要素の関係
各層におけるセキュリティ対策の概要
(参考)フレームワーク活用例:リスクべース
フレームワークにおける信頼の確保の考え方
産業分野ごとの検討の促進:分野別のSWGの設置
(参考)ビルSWG(座長:江崎浩東京大学教授)
(参考)電力SWG(座長:渡辺研司名古屋工業大学大学院教授)
グローバルサプライチェーンに対応するため『サイバー・フィジカル・セキュリティ対策フレームワーク』の国際化を推進
・グローバルサプライチェーンにそのまま適用できるフレームワークとするため、国際標準
(ISO27001等)や米国規格(NIST Cybersecurity Framework等)と連動。
・国外からも積極的に意見を募るため、英語版パブリックコメントを実施。
・国外の会議などでフレームワークを積極的に紹介。今後、国際標準化についても検討。
マルチ・バイを通じた国際協調への取り組み①
マルチ・バイを通じた国際協調への取り組み②
マルチ・バイを通じた国際協調への取り組み③
マルチ・バイを通じた国際協調への取り組み④
マルチ・バイを通じた国際協調への取り組み⑤
サイバー・フィジカル・セキュリティ対策フレームワークの見直し方針
国際規格等との対応関係の整理
セキュリティ対策例のレベル分け
分野を横断して共通するセキュリティ課題への対応
・サイバー空間とフィジカル空間が高度に融合する「Society5.0」では、産業分野を横断した企業間のつながりやデータの流通、サービスの提供がなされることも事実。
・産業分野別の課題や対策等を相互に持ち寄り、分野を横断して共通するセキュリティ課題の洗い出しやその対策について検討するSWGを設置。
・検討結果は、産業分野別の検討にフィードバックするとともに、「サイバー・フィジカル・セキュリティ対策フレームワーク」へ反映する等の取組を進める。
今後のスケジュール(案)
4.海外のサプライチェーンの強化
5.サイバーセキュリティ対策の基盤整備~経営者の意識喚起、人材育成①経営
セキュリティ対策に関する責任者(CISO等)の設置状況
①経営層向け:経営者にサイバーセキュリティ経営を促す仕組み『3STEPアプローチ』
1st Step サイバーセキュリティ経営の在り方の明確化
2nd Step サイバーセキュリティ経営を求める仕組みの構築
・コーポレート・ガバナンス・システム(CGS)に関するガイドラインのとりまとめに向け、サイバーセキュリティを位置付け
・『取締役会実効性評価』の項目にサイバーリスクを組み込むことを促進
・サイバーセキュリティが経営リスクであることの投資家に対する啓発
3rd Step 市場(投資家)に対するサイバーセキュリティ経営の可視化
サイバーセキュリティ経営ガイドライン
中小企業の情報セキュリティ対策ガイドライン(平成28年11月15日公開)
セキュリティ対策自己宣言「SECURITY ACTION」
②現場の実務者向け:サイバーセキュリティ対策の導入を促す対策事例集と可視化ツールの作成
③中小企業向け:サイバー保険等と連携して中小企業を支援する『サイバーセキュリティお助け隊』の創設
5.サイバーセキュリティ対策の基盤整備~経営者の意識喚起、人材育成②人材
サイバーセキュリティ人材育成・活躍促進パッケージの全体像
・ユーザー企業において必要となるセキュリティ人材の定義、評価指標が不明確。
・「セキュリティの理解を持って高度な経営判断を補佐する人材」の育成が不十分。
・教育プログラム策定への貢献など、産業界の教育への取組の強化が期待される。
サイバーセキュリティ経営を進める戦略マネジメント層の育成
セキュリティの理解を持って高度な経営判断を補佐する人材『戦略マネジメント層』を育成するために、産学官連携やICSCoEを拠点としたプログラムを開始。
サイバーセキュリティ経営を含む『次世代経営人材の育成プログラム』の開始<産学官連携>
CISO人材の育成プログラムの開始<IPA産業サイバーセキュリティセンター>
産学官連携の促進「学」向けのトレーニングの提供
(参考)産業サイバーセキュリティセンター(ICSCoE)
・017年4月、IPAに産業サイバーセキュリティセンターを設置
・第1期(平成29年7月~平成30年6月)では、電力、ガス、鉄鋼、石油、化学、自動車、鉄道、ビル、空港、放送、通信、住宅等の各業界60社以上から約80名の研修生を受け入れ、実践的な演習・対策立案等のトレーニングを行った。
・2017年9月、米国・国土安全保障省(DHS)及びNCCIC(旧ICS-CERT)から専門家を招聘し、「産業分野におけるサイバーセキュリティの日米共同演習」を実施
・2017年11月、イスラエルから複数の有識者を招聘し、世界の最新動向を踏まえた特別講義の開催
(参考)セキュリティ・キャンプ
・複雑かつ高度化しているサイバー攻撃に適切に対応するため、若年層のセキュリティ人材発掘の裾野を拡大し、世界に通用するトップクラス人材を創出することが必要。
・民間企業と一丸となって、若年層(22歳以下)セキュリティ人材の育成合宿を開催し、倫理面も含めたセキュリティ技術と、最新ノウハウを、第一線の技術者から伝授する場を創出。これまでのセキュリティ・キャンプ全国大会(2004年より開始,計15回開催)については累計で748名が受講。
・更に、地方におけるセキュリティ・キャンプ地方大会(2013年より開始)も併せて実施することにより、セキュリティ人材の裾野と輪を広げている。
(参考)SECCON(セキュリティ・コンテスト)について
・SECCON(SECurityCONtest)とは、2012年度から開催されている、実験ネットワーク内で行う疑似的な攻防戦などを通じてセキュリティ技術を競うコンテスト。
・2011年度に経済産業省でセキュリティコンテストの実証事業を行い、同事業の成果を引継ぎ、2012年度からJNSA(NPO法人日本ネットワークセキュリティ協会)が実施している。2018年度で7回目。
・2016年には世界99カ国、4,349人、2017年には世界102カ国、4,347人が予選参加する日本最大の国際競技大会に成長。
(参考)情報処理安全確保支援士(登録セキスペ)制度
・情報セキュリティの専門人材を確保できるよう、人材の識別を容易にするとともに、専門人材へのアクセスを確保するため、国家資格「情報処理安全確保支援士」(通称:登録セキスペ)制度を創設。2020年までに登録者3万人超を目指す。
・平成30年10月1日時点での登録人数は17,000名を超過する見込み。
・政府機関や企業等のサイバーセキュリティ対策を強化するため、専門人材を見える化し、活用できる環境を整備することが必要。
・技術進歩等が早いサイバーセキュリティ分野においては、知識等が陳腐化するおそれ。
・民間企業等が安心して人材を活用できるようにするには、専門人材に厳格な秘密保持が確保されていることが必要。
(参考)第四次産業革命スキル習得講座認定制度
・社会人向けのIT・データ分野の専門性・実践性の高い教育訓練講座を経済産業大臣が認定する「第四次産業革命スキル習得講座認定制度」を創設。
・2018年1月にAI・データサイエンス分野を含む23講座(16事業者)を初回認定し、4月から開講中。また、今年7月には21講座(15事業者)を認定し、10月以降に開講。
※経済産業大臣が認定した教育訓練講座のうち、厚生労働省が定める一定の要件を満たし、厚生労働大臣の指定を受けたものは、「専門実践教育訓練給付」の対象となる。
<認定対象分野>
講座の特徴
6.サイバーセキュリティビジネスの創出~エコシステムの構築