サイバー空間はグローバルな広がりをもつことから、サイバーセキュリティの確立のためには諸外国との連携が不可欠である。このため、総務省では、サイバーセキュリティに関する国際的合意形成への寄与を目的として、各種国際会議やサイバー対話等における議論や情報発信・情報収集を積極的に実施している。
また、情報通信事業者等による民間レベルでの国際的なサイバーセキュリティに関する情報共有を推進するために、ASEAN各国のISPが参加するワークショップ、日本と米国のISAC(Information Sharing and Analysis Center)が意見交換するワークショップを引き続き開催した。
このほか、ASEAN地域において、EDR(Endpoint Detection and Response)を活用した標的型攻撃対策ソリューションの適用性評価や、セキュリティガバナンスの向上に資するSD-WANの導入に向けた実証実験を実施した。また、これまで実践的サイバー防御演習(CYDER)をタイ、マレーシアで実施してきたが、2017年12月の日ASEAN情報通信大臣会合4において、CYDERをはじめとするサイバーセキュリティ演習をASEANの政府機関向けに実施することで合意した。
政策フォーカス 総務省におけるサイバーセキュリティ推進体制の強化
1.総務省における推進体制の強化、改組
サイバー空間における脅威の増大に対応していくため、総務省では、2017年に政策統括官を情報セキュリティ担当として任命し、サイバーセキュリティ課及び参事官(行政情報セキュリティ担当)を新設することで、サイバーセキュリティ政策の推進体制の強化を行った。2018年度にはサイバーセキュリティ統括官を新設し、その下に3人の参事官を設置することで、更なる体制の強化を図ることとしている。
2.IoT機器の脆弱性対策に関する実施体制の整備
インターネットがあらゆる面で国民生活や社会経済活動の基盤となる中で、近年、国内外でサイバー攻 撃が頻繁に発生しており、国民生活や社会経済活動に対して大きな影響が生じている。2016年10月には、マルウェア「Mirai」に感染した10万台を越えるIoT機器が踏み台となり、米国のDyn社のDNSサーバに対する大規模なDDoS攻撃が発生し、Twitter、Netflix等のサービスが停止する等の障害が発生した。従来、これらのDDoS攻撃は、主にPC、サーバ等にマルウェアを感染させることで行われてきたが、最近では、IoT機器の普及を受け、これらを踏み台として実施されることが多くなっており、NICTが運用しているサイバー攻撃分析システム(NICTER)の観測においても、2017年に観測されたサイバー攻撃1,504億パケット(前年1,281億パケット)のうち54%(前年64%)はIoT機器を狙ったものであるなど、IoT機器を狙ったサイバー攻撃が増加している状況である。
こうした状況を踏まえ、総務省に設置したサイバーセキュリティタスクフォースにおいて2017年10月に「IoTセキュリティ総合対策」が策定された。「IoTセキュリティ総合対策」においては、IoT機器の脆弱性についてライフサイクル全体(設計・製造段階、販売段階、設置段階、運用・保守段階、利用段階)を見通した対策や、脆弱性調査の実施等のための体制整備に取り組むべきことが示されている。
このうち、脆弱性の調査については、サイバー攻撃に用いられやすい簡単なID及びパスワードを使用するIoT機器を特定し、機器の利用者への注意喚起、機器製造事業者への対応要請につなげる必要があることから、総務省において、パスワード設定に不備のあるIoT機器の調査等をNICTの業務に追加すること等を内容とする「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案」を2018年3月に国会へ提出し、同改正法は同年5月に公布された。
3.民間企業等におけるセキュリティ対策の促進
(1)情報連携投資等の促進に係る税制(コネクテッド・インダストリーズ税制)の創設
IoT産業等の関連産業等の成長を見据え、民間企業におけるセキュリティ投資を促進するため、経済産業省と共同で税制改正要望を行い、「平成30年度税制改正の大綱」(2017年12月22日 閣議決定)において、一定のサイバーセキュリティ対策が講じられたデータ連携・利活用により、生産性を向上させる取組について、それに必要となるシステムや、センサー・ロボット等の導入に対して、支援措置を講じる「情報連携投資等の促進に係る税制」(コネクテッド・インダストリーズ税制)を2018年度に創設することとした(図表1)。
(2)公衆無線LANのセキュリティ対策の在り方に関する検討(公衆無線LANセキュリティ分科会)
公衆無線LANについては、2020東京オリンピック・パラリンピック競技大会に向けて、観光や防災の観点から、その普及が進んでいるところ、公衆無線LANサービスの中には、セキュリティ対策が十分でないものも多く、公衆無線LANサービスを踏み台にした攻撃や情報漏洩等のインシデントが発生することが考えられる。
このため、2017年11月からサイバーセキュリティタスクフォースの下に設置した「公衆無線LANセキュリティ分科会」において、利便性と安全性のバランスに配慮しつつ、公衆無線LANのセキュリティ対策のあり方とセキュリティに配慮した公衆無線LANサービスの普及策について検討を行った。2018年3月22日、本分科会は報告書を取りまとめ、本報告書を踏まえ、「セキュアな公衆無線LAN環境の実現に向けた行動計画」を策定、公表した(図表2)。
(3)民間企業のサイバーセキュリティ対策の情報開示の在り方に関する検討(情報開示分科会)
民間企業においては、複雑・巧妙化するサイバー攻撃に対する対策強化を進める動きが見られるようになってきているが、こうした取組をさらに促進するためには、セキュリティ対策を講じている企業が市場を含む第三者から評価される仕組みを構築していくことが求められている。このため、2017年12月にサイバーセキュリティタスクフォースの下に「情報開示分科会」を設置し、あくまで任意の取組であることを前提としつつ、民間企業のセキュリティ対策の情報開示に関する課題を整理し、その普及に必要な方策について検討を行った。本分科会における検討を踏まえ、2018年6月8日に「情報開示分科会報告書」を公表した(図表3)。
4.円滑なインターネット利用環境の確保
総務省においては、IoT機器を悪用したDDoS攻撃等によるインターネット障害を防ぐために「円滑なインターネット利用環境の確保に関する検討会」を開催し、2018年2月、「対応の方向性」を取りまとめた。この取りまとめにおける主な提言内容と、それに対する総務省の取組は以下のとおりである。
一点目は、電気通信事業者の取り得るDDoS攻撃等の防止措置である。電気通信事業者から提案された、DDoS攻撃にかかる通信のメタデータを分析し、自らの通信ネットワーク内に存在するC&Cサーバと通信している機器やC&Cサーバを検知した上で、ユーザーに対して注意喚起を行うといった手法について、通信の秘密やプライバシーとの調整を図りながら実施していくことが望ましいとされたところであり、総務省において、通信の秘密やプライバシーとの関係等について引き続き検討を進めているところである。
二点目は、情報共有に係る制度整備と共有の促進である。電気通信事業者からDDoS攻撃等にかかる通信のメタデータを収集・分析した上で電気通信事業者に提供する第三者機関を設けることで、電気通信事業者のDDoS攻撃等への対応が促進されるよう、第三者機関を法律上位置づけるべきとされたところであり、総務省において、先述のパスワード設定に不備のあるIoT機器の調査等に係るNICTの業務追加と併せて、このような機関の認定制度等を盛り込んだ「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案」を2018年3月に国会へ提出し、同改正法は同年5月に公布された5。
三点目は、IoT機器を含む脆弱な端末設備へのセキュリティ対策である。電気通信事業者のネットワークに接続されるIoT機器を含む端末設備において、基本的なセキュリティ対策を実施するため、国際競争力確保等の観点を踏まえながら更に議論を深めるべきとされたところであり、情報通信審議会において、ネットワークの安全・信頼性を確保するための端末のセキュリティ対策について、検討を行っているところである。
最後に、2017年8月に発生した大規模なインターネット障害の検証を踏まえた対策である。電気通信事業者においてインターネットの経路情報を適切に制御する技術的対策を実施するとともに、事業者間でインターネット障害に関する情報を共有する体制を整備すべきとされたところであり、情報通信審議会において、情報通信ネットワーク安全・信頼性基準(ガイドライン)の改訂や、事業者から総務省へのインターネット障害の報告の在り方について、検討を行っているところである。
4 日ASEAN情報通信大臣会合:http://www.soumu.go.jp/menu_news/s-news/01tsushin09_02000063.html
5 情報共有に係る制度整備及びパスワード設定に不備のあるIoT機器の調査等に係るNICTの業務追加に係る部分の施行日は、公布の日から起算して9ヶ月を超えない範囲内において政令で定める日となっている。