スマートライフ政策について · (サービスを起点としたデータ活用)...
TRANSCRIPT
![Page 1: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/1.jpg)
スマートライフ政策について
平成30年7月
商務情報政策局
情報産業課
![Page 2: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/2.jpg)
事業所・工場、技術・技能等の電子データ化は進んでいるが、それぞれバラバラに管理され、連携していない
データがつながり、有効活用されることにより、技術革新、生産性向上、技能伝承などを通じた課題解決へ
技能がデータ化され、後世に伝承人とAI・ロボットがつながり、
働きやすい職場に
「Connected Industries」は、Made in Japan、産業用ロボット、カイゼン等に続く、日本の新たな強みに
産学官における議論喚起・検討
データがAI等によって比較検証・分析され、技術が進歩
モビリティ、ものづくり、バイオ・素材、プラント保安、スマートライフなど分野別の取組
事業所間・部門間のデータがつながり、生産性が向上
製品・サービスのデータが生産者等とつながり、サービス向上
従来
将来
データ利活用、標準化、IT人材、サイバーセキュリティ、AI開発など横断的な取組
1
地域・中小企業への面的展開
~我が国産業が目指す姿(コンセプト)~
Connected Industriesの考え方
![Page 3: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/3.jpg)
第1次産業革命動力を取得(蒸気機関)
第2次産業革命動力が革新
(電力・モーター)
第3次産業革命自動化が進む(コンピュータ)
第4次産業革命自律的な最適化が可能に大量の情報を基に人工知能が自ら考えて最適な行動をとる
狩猟社会 農耕社会 工業社会 情報社会
Society 5.0超スマート社会
サイバー空間とフィジカル空間が高度に融合
<社会の変化>
<技術の変化>
<産業の在り方の変化>
Society 5.0につながるConnected Industries
Connected Industries
もの×もの人間×機械・システム
企業×企業人間×人間
(知識や技能の継承)
生産×消費大企業×中小企業
地域×地域現場力×デジタル多様な協働
新たな社会を形成人間中心課題解決型
個々の産業ごとに発展
・様々なつながりによる新たな付加価値の創出・従来、独立・対立関係にあったものが融合し、変化
→新たなビジネスモデルが誕生
2
![Page 4: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/4.jpg)
3
「Connected Industries」5つの重点取組分野
「スマートライフ」
「自動走行・モビリティサービス」
「ものづくり・ロボティクス」 「バイオ・素材」
「プラント・インフラ保安」
データ協調の在り方を早急に整理 AI開発・人材育成の強化 物流等も含むモビリティサービスやEV化の将来像を見据えた取組
協調領域におけるデータ連携の実現
実用化に向けたAI技術プラットフォームの構築
社会的受容性の確保
データ形式等の国際標準化 サイバーセキュリティ・人材育成等の協調領域での企業間連携の強化
中小企業向けのIoTツール等の基盤整備
IoTを活用した自主保安技術の向上 企業間のデータ協調に向けたガイドライン等の整備
さらなる規制制度改革の推進
ニーズの掘り起こし、サービスの具体化 企業間アライアンスによるデータ連携 データの利活用に係るルール整備
![Page 5: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/5.jpg)
スマートライフの世界観
悩み
健康・生活支援 両親の浴室事故を防ぎたい 孤独死が怖い 日々の体調管理ができない
(服薬確認等含む) スーパーまでの移動手段がない
家事 買い物に行くのが面倒 炊事・洗濯・掃除の時間がない 宅配便を受け取る時間がない
子育て 遠隔での帰宅確認 保育園・学校での状況把握 塾へ行かせたいけど高い
提供可能な解決策
健康・生活支援 浴室見守りソリューション 家族・地域とのコミュニケーション 家電のモニタリングによる状態検知
(異常検知、アラート等含む) デマンド交通ソリューション
家事 献立提案・ネット宅配サービス 家事代行サービス、家電の遠隔制御等 IoT宅配(不在配達+スマートロック)
子育て 入退出見守りソリューション ICT機器を活用した情報共有 オンライン学習サービス
スマートホームで収集されるデータ
Web・サービス等の事業者保有データ
データ連携・サービス提供
健康・生活支援等のデータ
行政・Web等のオープンデータ
4
音声デバイスの登場により、スマートホーム市場が動き出している。現在、各方面でライフデータを活用したビジネス提案が活発化している。
宅内では、家電やウェアラブル、センサ等の多様な機器で生活情報を収集できる。また、サービスや小売り等のサービス事業者、行政・Web等が保持する各種データなど、生活関連情報は多数存在している。これらの情報を連携させることで、消費者ニーズに合ったサービスの高度化につなげられるのではないか。
![Page 6: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/6.jpg)
参入事業者のイメージ
5
生活情報を活用したスマートライフ関連市場には、①サービス事業者(データ活用)、②プラットフォーマー(データ収集・分析)、③機器メーカー(データ提供)といった幅広いプレイヤーの参入が見込まれ、Web APIを用いたクラウド間連携が想定されている。
コンソーシアムは、大小様々な事業者が参画できるような仕組み(ビジネスモデル、Web APIの仕様公開等)になることが重要で、今後、多くのコンソーシアムが勃興していくことが見込まれる。
![Page 7: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/7.jpg)
スマートライフ分野の現状 市場創出に向けサービス事業者やプラットフォーム事業者の関係事業者にヒアリングしたところ、
①データ活用サービスの消費者メリットの見える化がされないと、企業として本格参入が難しい。②プライバシーデータを利活用することに対して、消費者に受け入れられる社会的な空気感の醸成が必要。といった声が大きい。
現状は「卵と鶏」の状態であることから、直近で必要なのは「事例の創出」である。同時に、消費者に安心・安全を提供するために、プライバシーデータ活用・セキュリティ/製品安全といった最低限のルールを要件として、イノベーションの阻害要因にならないようバランスを持って進める。
2017年度接続に関連する最低限のルール整理
2018年度社会課題テーマ毎のサービス創出(事例の創出)
①データカタログ
②セキュリティ・製品安全
③プライバシーデータ活用
2019年度~生活データ活用サービスの事例拡大(ビジネス拡大)
成功事例を踏まえたサービス市場の創出
高齢者生活支援家事負担軽減エンタテインメント
●サービス事業者・メーカーの拡大●プラットフォーム間連携による経済圏の拡大●情報銀行、データ共有事業等の実証
高齢者生活支援見守りサポート健康増進
(サービスを起点としたデータ活用)
●精緻なデータの収集・分析基盤整備●サービスに有効なデータの確認●社会課題解決につながる消費者メリット創出●PF等の事業者のビジネスモデルの検証(データ流通、マーケティング、広告等)
6
![Page 8: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/8.jpg)
スマートホーム実証●三菱総合研究所
スマートライフの実証事業(平成29年度)
計61世帯(戸建て30世帯、集合住宅31世帯)に、一つのUI上で多様な機器の操作やサービスを享受できる環境を構築。実モニターにサービスを提供することで、他社間連携上の論点(①データカタログ、②セキュリティ・製品安全、③プライバシーデータの活用ルール)について検討した。
ライフスタイルに関するサービス実証
製品ライフサイクルに関するサービス実証
音声認識ロボットやSNS等と家電・設備機器・制御機能が連携。
●大和ハウス(戸建て住宅モニター)○富士ソフト(UIクラウド構築)○NEC(HEMSデータ提供)○ソニーCSL(GW構築)
○パナソニック(エアコン) ○シャープ(エアコン)○三菱電機(エアコン) ○フィリップス(LED照明)○ユカイ工学(BOCCO) ○IIJ(スマートメーター)○アイホン(ドアホン) ○Yahoo(myThings) 等
サービス実施
エアコンや空気清浄機の遠隔操作や、不在時にも遠方から来訪者を確認したり、プラットフォームを通じた照明操作などを実現。
●積水ハウス(集合住宅モニター)○日本ユニシス(クラウド・認証 基盤構築)○富士通(個人情報クラウド連携構築)
○シャープ(エアコン・空気清浄機・UI構築)○アイホン(ドアホン)○NECパーソナルコンピュータ(Benlly)※Benllyを経由してLED照明操作 等
サービス実施
リコール・リサイクルのサービスについて、消費者に身近になるよう、製品ライフサイクルに係る他のサービス(例:使用状況(電力使用量)の見える化、
故障時の修理手配、保証書管理)と一体的に実施。
●日立製作所(サービス提供取りまとめ)○東京電力パワーグリッド(電力使用状況把握)○Warrantee(サービス実施主体)○ヤマトシステム開発(物流) 等
7
![Page 9: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/9.jpg)
8
スマートライフの実証事業(平成30年度)の方向性
①多様なユースケースの創出
これまで「スマートライフ」分野はビジネス化が難しかった中で、データを活用するサービス事業者、データを連携するプラットフォーマー、データを提供する機器メーカーが、それぞれにとってWinWinになるモデルケースを構築
特に大きな社会課題となっている高齢化社会に対して、データを活用したソリューションを提供し、健康を軸とした消費者メリットを創出する
ユースケースの積極的な情報発信によって参入事業者の拡大、幅広い普及に努める
高齢化などの課題先進国である日本で成功したサービス事例を、グローバルにも展開することを検討していく
②サービス事業者の参画に対応した他社間連携に必要な要件の深堀り
有効なデータ活用の促進• データ項目のフォーマット(データカタログ)について、運用・管理まで含めたガイドラインα版を策定し、実運
用に向けた活動につなげていく
セキュリティ・製品安全の深堀り
• サービス事業者、プラットフォーマー、機器メーカーそれぞれがリスク評価(①守るべき資産の特定、②脅威・脆弱性の洗い出し、③リスクの影響規模、④対策の検討)を行い、責任分界点について掘り下げ
プライバシーデータの取扱い
• 複雑なデータの流通における、本人の同意取得のあり方について検討し、考え方をまとめる
• プライバシーデータの流通を本人同意のもと一括して信託する仕組み(情報銀行)の導入可能性について検討
![Page 10: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/10.jpg)
今年度のスマートライフ実証に当たっての論点
昨年度のIoT実証において示された各論点の検討を行い、サービス事業者を起点として、課題を掘り下げ実用性を高める。
実証開始までに論点に関する議論を行い、実証に落とし込んだうえで、市場創出に向けた成果物(例えばガイドラインα版や雛形、要件整理等)を年度末までに報告書として取りまとめる。
各論点については、実証・分科会・小委員会・業界団体等で議論を行い、年度末までに報告書として取りまとめる。
論点①
データの質の確保
データの質(真贋を含む)の評価手法を検討
サービス事業者が求めるデータカタログの有用性の検証
データカタログの運用、管理の在り方の整理
データ利活用スキームの確立、ガイドラインα版の策定
論点②
セキュリティ・製品安全
実証の参加企業各社におけるそれぞれの事業内容に応じたリスク評価の深堀り①守るべき資産の特定、②脅威・脆弱性の洗い出し、③リスクの影響規模、④対策の検討
上記を踏まえたスマートライフ分野におけるサービスバリューチェーン全体でのフレームワークの検討
遠隔操作に関する製品安全に係る基準の在り方の検討
論点③
プライバシーとデータ活用ルール
複雑なデータ連携サービスにおける同意取得のあり方について検討
サービスを途中で解約した場合等のデータ管理の在り方を検討
プライバシーデータを本人同意のもと一括して信託する仕組み(情報銀行)の導入に必要な要件を整理
論点④
スマートライフ市場の要件整理
データ契約ガイドラインの議論を踏まえ、スマートライフ分野に必要な要件を整理
ユースケースを踏まえた健康・介護分野における制度上の課題の抽出
サービス事例のPR戦略
(ログ解析等含)
9
![Page 11: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/11.jpg)
10
論点① データの質の確保
収集データは目的をもって集める必要があるため、今回の実証において必要なデータを特定し、データカタログを作成する。実サービスにおいてのカタログの有用性について評価する。
データの信憑性評価手法、カタログの管理・運用の在り方について検討し、ガイドラインα版を策定する。
◆データカタログの活用シーンのイメージ
①データの信憑性をどのように評価するのか?・メタデータ内に埋め込む・PFがお墨付きを与える
③カタログの有用性検証・カタログの検索・リクエストの有用性・データカタログがサービスにどのような効果を発揮したか・カタログニーズの拡大
②データカタログの運用・管理・取りまとめ団体・PF等による運用・管理・データ取引手法の在り方・各データの帰属、高次化したデータの帰属は誰か
ガイドラインα版の策定・①~③の論点を踏まえ、どのような要件が必要とされているのか・各レイヤーの事業者が活用するためにはどのようなまとめ方が良いのか・事業者の活用を促すためにどのようなPRを行っていく必要があるのか
![Page 12: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/12.jpg)
論点② セキュリティ・製品安全
実証プレイヤー各社がそれぞれセキュリティ・製品安全の対策指針を作成。
リスク評価については、①守るべき資産の特定、②脅威・脆弱性の洗い出し、③リスクの影響規模、④対策の検討を中心に実施し、サプライチェーン全体で誰が何を守るのかを明確化したうえで、事業者間の責任分界点を明確化する。また、実証プレイヤー毎のリスク評価事例を取りまとめる。
実証をユースケースとして、スマートライフ分野のサイバーセキュリティフレームワークに落とし込む。
11
◆3層構造イメージへの落とし込みJEITAで検討しているスマートホーム分野のフレームワークへ実証のユースケースを落とし込み、住宅・住設・家電・サービス等のサービスバリューチェーン全体のフレームワークを検討する。
◆対策指針におけるリスク評価の深堀り昨年度取りまとめたセキュリティ・製品安全の対策指針に基づき、実証プレイヤー各社がリスク評価を行い、それぞれの立場で対策を講じる。
①守るべき資産の特定②脅威・脆弱性の洗い出し③リスクの影響規模④対策の検討
各事業者間の責任分界点の明確化
![Page 13: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/13.jpg)
12
【参考】守るべき資産の特定(情報資産台帳の作成例)
個人
情報
要配慮
個人情報
マイナ
ンバー機密性 完全性 可用性
脅威の発生頻度(「脅威の状
況」シートで設定)
脆弱性(「対策状況チェッ
ク」シートで設定)
人事 社員名簿 社員基本情報 人事部 人事部 事務所PC 有 2 0 0 2 2016/7/13:通常の状態で発生する(いつ発生してもおかしくない)
2:部分的に脆弱性未対策 2 可能性:中 4 リスク大
人事 社員名簿 社員基本情報 人事部 人事部 書類 有 2 2 2 2 2016/7/12:特定の状況で発生する(年に数回程度)
2:部分的に脆弱性未対策 1 可能性:低 2 リスク中
人事 健康診断の結果 雇入時・定期健康診断 人事部 人事部 書類 有 2 2 1 2 5年 2016/7/12:特定の状況で発生する(年に数回程度)
2:部分的に脆弱性未対策 1 可能性:低 2 リスク中
経理給与システム
データ税務署提出用源泉徴収票
給与計算担当
人事部 事務所PC 有 2 2 1 2 7年 2016/7/13:通常の状態で発生する(いつ発生してもおかしくない)
2:部分的に脆弱性未対策 2 可能性:中 4 リスク大
経理 当社宛請求書当社宛請求書の原本
(過去3年分)総務部 総務部 書類 1 1 1 1 2016/7/1
2:特定の状況で発生する(年に数回程度)
2:部分的に脆弱性未対策 1 可能性:低 1 リスク中
経理 発行済請求書控当社発行の請求書の控
え(過去3年分)総務部 総務部 書類 1 1 1 1 2016/7/1
2:特定の状況で発生する(年に数回程度)
2:部分的に脆弱性未対策 1 可能性:低 1 リスク中
共通 電子メールデータ重要度は混在のため最
高値で評価担当者 総務部 事務所PC 有 2 2 2 2 2016/7/1
3:通常の状態で発生する(いつ発生してもおかしくない)
2:部分的に脆弱性未対策 2 可能性:中 4 リスク大
共通 電子メールデータ Gmailに転送 担当者 総務部 社外サーバー 有 2 2 2 2 2016/7/13:通常の状態で発生する(いつ発生してもおかしくない)
2:部分的に脆弱性未対策 2 可能性:中 4 リスク大
営業 顧客リスト得意先(直近5年間に実
績があるもの)営業部 営業部 社内サーバー 有 2 2 2 2 2016/7/1
3:通常の状態で発生する(いつ発生してもおかしくない)
2:部分的に脆弱性未対策 2 可能性:中 2 リスク中
営業 顧客リスト得意先(直近5年間に実
績があるもの)営業部 営業部 可搬電子媒体 有 2 1 1 2 2016/7/1
2:特定の状況で発生する(年に数回程度)
2:部分的に脆弱性未対策 1 可能性:低 1 リスク中
営業 顧客リスト得意先(直近5年間に実
績があるもの)営業部 営業部 モバイル機器 有 2 1 1 2 2016/7/1
3:通常の状態で発生する(いつ発生してもおかしくない)
2:部分的に脆弱性未対策 2 可能性:中 2 リスク中
営業 受注伝票 受注伝票(過去10年分) 営業部 営業部 社内サーバー 1 1 1 1 2016/7/13:通常の状態で発生する(いつ発生してもおかしくない)
2:部分的に脆弱性未対策 2 可能性:中 2 リスク中
営業 受注伝票 受注伝票(過去10年分) 営業部 営業部 書類 1 1 1 1 2016/7/12:特定の状況で発生する(年に数回程度)
2:部分的に脆弱性未対策 1 可能性:低 1 リスク中
営業 受注契約書受注契約書原本(過去
10年分)営業部 営業部 書類 1 2 1 2 2016/7/1
2:特定の状況で発生する(年に数回程度)
2:部分的に脆弱性未対策 1 可能性:低 2 リスク中
営業 製品カタログ 現役製品カタログ一式 営業部 営業部 社内サーバー 0 1 1 1 2016/7/13:通常の状態で発生する(いつ発生してもおかしくない)
2:部分的に脆弱性未対策 2 可能性:中 2 リスク中
営業 製品カタログ 現役製品カタログ一式 営業部 営業部 書類 0 1 1 1 2016/7/12:特定の状況で発生する(年に数回程度)
2:部分的に脆弱性未対策 1 可能性:低 1 リスク中
営業 製品カタログ 現役製品カタログ一式 営業部 営業部 可搬電子媒体 0 1 1 1 2016/7/12:特定の状況で発生する(年に数回程度)
2:部分的に脆弱性未対策 1 可能性:低 1 リスク中
営業キャンペーン応募者リスト
20xx年のキャンペーン応募者情報
営業部 営業部 社内サーバー 有 2 1 0 2 2016/7/13:通常の状態で発生する(いつ発生してもおかしくない)
2:部分的に脆弱性未対策 2 可能性:中 4 リスク大
調達 委託先リスト外部委託先(直近5年間に実績があるもの)
総務部 総務部 社内サーバー 0 1 1 1 2016/7/13:通常の状態で発生する(いつ発生してもおかしくない)
2:部分的に脆弱性未対策 2 可能性:中 2 リスク中
調達 発注伝票 発注伝票(過去10年分) 総務部 総務部 社内サーバー 1 0 0 1 2016/7/13:通常の状態で発生する(いつ発生してもおかしくない)
2:部分的に脆弱性未対策 2 可能性:中 2 リスク中
調達 発注伝票 発注伝票(過去10年分) 総務部 総務部 書類 1 0 0 1 2016/7/12:特定の状況で発生する(年に数回程度)
2:部分的に脆弱性未対策 1 可能性:低 1 リスク中
技術 製品設計図 現役製品の設計図 開発部 開発部 社内サーバー 2 2 2 2 2016/7/13:通常の状態で発生する(いつ発生してもおかしくない)
2:部分的に脆弱性未対策 2 可能性:中 4 リスク大
重要度保存
期限登録日
現状から想定されるリスク(入力不要・自動表示)
リスク値被害発生
可能性
評価値個人情報の種類
媒体・保存先業務
分類情報資産名称 備考
利用者
範囲
管理
部署
1 2 3 4 5 6 7 8 9 10 11 12 13 14
(出所)独立行政法人情報処理推進機構
![Page 14: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/14.jpg)
13
【参考】セキュリティ脅威(攻撃手法)と対策技術の全体像
物理的対策
(1)F/W(フ
ァイア
ウォール)
(2)不正侵
入防御
(IDS・
(3)WAF (4)UTM
(5)イン
ターネット
広域監視
(6)SIEM
(※1)
(7)ID管
理・認証
(8)VPN リ
モートアク
セス環境
(9)アンチ
ウイルスソ
フトウェア
(10)コンテ
ンツフィル
タリング
(11)検疫
ネットワー
ク
(12)脆弱
性管理シ
ステム
(13)脆弱
性スキャナ
(14)情報
セキュリ
ティ監査
(15)MDM
(16)DLP(
データ漏
洩保護)
(17)改ざ
ん検知
(18)暗号
通信
(19)電子
署名
(20)セキュ
アプログラ
ミング
(21)セキュ
リティテス
ト
(22)入退
室管理シ
ステム
(1)データ漏えい攻撃 ● ● ● ● ● ● ● ● ● ● ● ● ●
(2)リソース枯渇 ● ● ● ● ● ● ● ● ● ●
(3)注入・挿入 ● ● ● ● ● ● ●
(4)成りすまし ● ● ● ● ● ●
(5)タイミング及び状
態の悪用● ● ● ●
(6)機能の悪用 ● ● ● ● ●
(7)確率的技法 ● ● ● ●
(8)認証の悪用 ● ● ● ● ● ● ● ● ● ● ●
(9)特権・信頼の悪用 ● ● ● ●
(10)データ構造攻撃 ● ● ● ● ● ● ● ● ● ● ●
(11)リソース操作 ● ● ● ● ● ● ●
(12)物理セキュリティ
攻撃● ●
(13) ネットワーク偵
察● ● ● ● ● ●
(14)ソーシャルエンジ
ニアリング攻撃●
(15) サプライチェー
ン攻撃●
攻撃手法
分類
システム開発ネットワーク防御 アクセス制御 マルウェア対策 脆弱性対策 監査・監視 暗号
攻撃分類に対するセキュリティ対策技術の全体像を整理
複数の対策技術を組み合わせてセキュリティ脅威による対策を行う(多層防御の考え方)
(出所)株式会社三菱総合研究所
![Page 15: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/15.jpg)
14
【参考】 攻撃パターン分類
攻撃パターンを網羅的に分類・カタログ化することにより攻撃に関する情報共有をスムーズに行えるようにする
攻撃パターンは階層分類され、常時アップデート。2018年1月時点で、566パターンが下記を大分類として体系化される。
漏洩 毀損 破壊 削除 中断
(1)情報収集と分析
(Collect and Analyze Information)
攻撃者により情報の収集、窃取に関する手法で、システムに対する能動的または受動的な手法がある。傍受(Interception)、攻撃対象のプロービング(Footprinting)、プロトコル解析などが含まれる。
◎ ○
(2)インジェクション
(Inject Unexpected Items)
細工した入力データを送りつけることで標的のコントロールや破壊を行う。SQLインジェクション、OSコマンドインジェクション、パラメータインジェクション、マルウェアインストール、クロスサイトスクリプティング(XSS)などが含まれる。
◎ ○ ○ ○ ○
(3)偽装行為
(Engage in Deceptive Interactions)
偽装行為により、攻撃者を標的の信用する主体だと思いこませる。コンテンツ偽装、ID偽装、リソース場所偽装などが含まれる。
○ ○ ○ ○ ○
(4)タイミング及び状態の悪用
(Manipulate Time and State Attacks)
操作のタイミングや状態に関わる脆弱性を悪用し、競合状態(race condition 等)、状態管理機構の異常(dead lock 等)を発生させる。
◎
(5)機能の悪用
(Abuse of Functionality)
対象システムの機能を本来の想定外に悪用する。API不正操作、リソースのオーバーフロー(Flooding)、パスワードを忘れた場合の回復メカニズムを悪用してパスワードを初期化する等が含まれる。
○ ◎ ○ ○ ○
(6)確率的手法
(Employ Probabilistic Techniques)暗号等の確率に依存したセキュリティ対策に対して探索的な攻撃を繰り返すことでセキュリティを破る手法。ファジング、ブルートフォース等を含む。
◎ ○ ○
(7)アクセス制御の侵害
(Subvert Access Control)アイデンティティ、認証管理の弱点、制約、仮定を攻撃・悪用する攻撃。セッションリプレイ、中間者攻撃、クロスサイトリクエストフォージャリー(CSRF)などが含まれる。
○ ○
(8)データ構造の操作
(Manipulate Data Structure)
データ構造を不正に操作することでシステムの動作を妨害する攻撃。バッファーオバーフロー、ポインター操作、整数オーバーフローなどが含まれる。
○ ○ ○ ○ ◎
(9)システムリソース操作
(System Resource Manipulation)
システムの利用するファイル、ライブラリ、インフラ、設定等のリソースを不正に操作する攻撃。任意コードの実行、破壊等、さまざまな影響を与える。キャッシュポイズニング、コンフィグレーション操作、不正ソフトウェアダウンロード、ハードウェア改ざんなど。
○ ◎ ○ ○ ○
(1) ソーシャルエンジニアリング攻撃
(Social Engineering)システムに関与する職員を誘導、何らかの行為を行わせたり、重要情報を開示させたりする。
◎
(2)サプライチェーン攻撃
(Supply Chain)
システムを構成するハードウェア、ソフトウェア、サービスのサプライチェーンに介入することで、重要情報の窃盗、ミッションクリティカルシステムの混乱等を発生させる。製造工程と流通過程における改ざんに分けられる。
◎ ◎
(3)通信攻撃
(Communication)
通信とそのプロトコルに関する脆弱性を悪用する手法である。傍受、プロトコル悪用、トラフィック・インジェクション、妨害などが含まれる。
◎ ○
(4)ソフトウェア攻撃
(Software)
ソフトウェアアプリケーションの脆弱性を悪用する攻撃である。ブルートフォース、認証悪用、バッファ操作、フロッディング、ポインタ操作、ID偽装、コードインジェクションなど多様なものが含まれる。
○ ○ ○ ○ ○
(5)物理的セキュリティ攻撃
(Physical Security)
ハードウェアの置き換え、破壊、修正、脆弱性の悪用など物理的な攻撃。物理セキュリティのすり抜け、物理窃盗、デバイスの物理的破壊などが含まれる。
◎ ◎ ○
(6)ハードウェア攻撃
(Hardware)
攻撃対象のプロービング(Footprinting)、ハードウェア改ざん、不正ロジック挿入などが含まれる。
◎ ○ ○
攻撃の概要と主な例生じさせる主な脅威※ 1
メカニズムによる攻撃分類
分野による攻撃分類
攻撃パターン分類
(出所)株式会社三菱総合研究所
![Page 16: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/16.jpg)
15
論点③ プライバシーデータの活用
複数事業者間でデータを利活用する際の利用者からの同意書の雛形を整備する。
オプトイン、オプトアウト、海外対応等を踏まえた適切なデータ管理に関しての要件を整理する。
サービス事業者が拡大していった場合に、プライバシーデータを本人同意のもと一括して信託する仕組み(情報銀行)の導入に必要な要件を整理する。
◆同意取得の雛形整備
個人
プラットフォーマー
サービス事業者(第三者提供先)データの適切管理
IoT
機器メーカー
◆適切なデータ管理の要件
ユーザーとの同意取得
![Page 17: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/17.jpg)
【参考】 情報銀行とは
情報銀行(情報利用信用銀行)とは、個人とのデータ活用に関する契約等に基づき、PDS等のシステムを活用して個人のデータを管理するとともに、個人の指示又は予め指定した条件に基づき個人に代わり妥当性を判断の上、データを第三者(他の事業者)に提供する事業。
情報銀行の意義
・自ら個別に判断する必要なく、データ活用の便益を享受できる
・信頼に足る情報銀行が関与することで、データホルダーから個人へデータを戻しやすくなる
・個人にとって第三者へのデータ提供の障壁が低くなるなど、より多くのデータの流通・活用が進む
「AI、IoT時代におけるデータ活用ワーキンググループ中間とりまとめの概要」(内閣官房IT総合戦略室)より 16
![Page 18: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/18.jpg)
【参考】 「情報銀行」の認定に係る指針 ver1.0 概要○「情報銀行」については、昨年7月、情報通信審議会において、一定の要件を満たした者を社会的に認知するため、民間の団体等による任意の認定の仕組みが望ましいとの提言。
○認定の仕組みを有効に機能させるため、総務省・経産省では合同の検討会を立ち上げ、
① 認定基準、②モデル約款の記載事項、③認定スキームから構成される指針ver1.0をとりまとめ。
(昨年11/7~4/24まで計6回開催、5月11日~31日にパブコメ実施、6月26日に公表)
○本年秋頃の民間の認定団体による認定開始に向けて調整中。
〇今後継続して議論・見直し、ver1.0で対象外とした要配慮個人情報の扱いについても検討。
<主な指針の内容>
経営面の要件
セキュリティ基準
ガバナンス体制(相談体制、諮問体制等)
個人情報の取得方法や利用目的の明示
利用者がコントロールできる機能
損害賠償責任
委任関係に関する契約上の合意について、
具体的な条件をモデル約款として示す
業務範囲
情報銀行が担う義務
事業終了時等の扱い
(個人情報保護法上も有効な同意に)
認定団体の適格性
審査の手法
認定証
認定内容に違反した場合の対応
認定団体と認定事業者の契約
認定団体の運用体制
①認定基準 ②モデル約款の記載事項 ③認定スキーム
「認定基準」は一定の水準を満たす事業者を認定する仕組みのためのものであり、当該認定によって消費者が安心してサービスを利用するための判断基準を示すもの。
消費者個人を起点としたデータの流通(コントロールできる機能の充実)、消費者からの信頼性確保に主眼を置く。
認定基準の基本的な考え方
17「データ主導社会とデータ流通に向けた取組」(総務省資料)より
![Page 19: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/19.jpg)
18
論点④ スマートライフ市場の要件整理
セキュリティ等の技術的要件も含めた形で、参加事業者に必要なインフラ要件を整理する。(データ契約ガイドライン)
ユースケースから得られた健康・介護分野の制度上の課題を抽出し、関係者とともに課題解決に向けた検討を行う。
プレスリリースやCEATECでの展示などを通して、サービス事例を戦略的にPRしていく。
◆データ契約ガイドラインの主な論点(案)
論点 論点項目 検討の視点
1.データの利用範囲
①利用目的②利用方法
※利用データの種類・範囲は「データカタログ」で議論
①どのような利用目的を設定するか②利用態様として何を許諾するか(取得・閲覧・複製・保管・修正・加工・分析・開示・販売・削除等)
2.成果物の取扱い
①派生データ等成果物の具体的内容
②派生データ等成果物の知的財産権の帰属
③派生データ等成果物の利益の分配
①派生データ等成果物として、いかなるデータ・サービスが創出される予定か②派生データ等成果物の知的財産権の帰属はどう整理するか③派生データ等成果物から得られる利益の分配について利用規約に定めるべきか
3.提供データの保証・非保証
①データの正確性等についての保証・非保証
②(データが継続的に創出される場合)保証の在り方
③(個人情報が含まれる場合)保証の在り方
①提供するデータについてどのような保証が適切か
②継続的なデータ提供の場合、データ創出とデータの量の確保について、どのような保証が適切か
③提供データに個人情報が含まれる場合、どのような保証が適切か
個人
プラットフォーマー
サービス事業者(第三者提供先)
データ提供に係る契約
IoT
機器メーカー
![Page 20: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/20.jpg)
スマートライフの実証事業(平成30年度)の体制
実モニターに対するサービス事例を創出するとともに、他社間データ連携における論点(①データの質の確保、②セキュリティ・製品安全、③プライバシーとデータ活用ルール、④スマートライフ市場の要件整理)の深堀りを行う。
サービス実証調査事業
家電やセンサ、ウェアラブル機器等からの生活データを収集し、健康増進、介護サポートサービスを実証。●シャープ、KDDI○KDDI(プラットフォーム)○シャープ(家電、センサ)○オムロン(ウェアラブル)
○セコム(健康電話相談サービス)○シャープ(認知症予防サービス)○コニカミノルタ(介護事業者向け業務効率改善)○血液検査、食事サポート、睡眠サポート、等
19
経済産業省
NEDO
有識者、実証事業者、関係団体、関係省庁を交えたスマートライフ分科会を開催し、サービス実証における論点を整理、スマートライフ市場創出に向けた成果物をまとめる。
●三菱総合研究所
〇データの質の確保〇セキュリティ・製品安全〇プライバシーとデータ活用ルール〇スマートライフ市場の要件整理〇事例調査、等
JEITA
連携
連携
・当該分野におけるプラットフォーマー等の要件を整理・スマートライフ市場創出における制度的課題の抽出・市場創出に向けたPR戦略の立案
家電やセンサ、ウェアラブル機器等からの生活データを収集し、多様なサービス事業者による高齢者在宅見守りサービスを実証。●パナソニック○パナソニック(プラットフォーム、家電、センサ)○エーザイ(服薬支援機器)〇オムロン(バイタル計測機器)〇関西電力(BルートHEMS)
○豊田市(地域包括支援センターサービス)○京阪地区(関西電力:訪問介護/警備の連携サービス)
○札幌市(メディカルシステムネットワーク:薬局の在宅薬剤師サービス)、等
![Page 21: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/21.jpg)
スマートライフ分科会 委員等名簿
スマートライフ分科会に加え、論点①~③については小委員会を適宜開催
氏名 所属・役職
一色 正男 神奈川工科大学 創造工学部 ホームエレクトロニクス開発学科 教授
板倉 陽一郎 ひかり総合法律事務所 弁護士
坂下 哲也 一般財団法人 日本情報経済社会推進協会 常務理事
新 誠一 電気通信大学 情報理工学研究科 教授
住谷 淳吉 一般財団法人 電気安全環境研究所 電気製品安全センター 所長
丹 康雄 北陸先端科学技術大学院大学 教授
原 辰徳 東京大学 人工物工学研究センター 准教授
吉岡 克成横浜国立大学大学院 環境情報研究院/先端科学高等研究院 准教授
20
氏名 所属・役職
実証事業者シャープ株式会社
パナソニック株式会社
オブザーバー
コネクティッドホーム アライアンス
一般財団法人 家電製品協会
一般社団法人 住宅生産団体連合会
一般社団法人 電子情報技術産業協会
一般社団法人 日本電機工業会
一般社団法人 日本在宅介護協会
事務局
国立研究開発法人 新エネルギー・産業技術総合開発機構
株式会社 三菱総合研究所
省内関係課室:製造産業局 生活製品課 住宅産業室産業技術環境局 国際電気標準課商務情報政策局 情報経済課、サイバーセキュリティ課、情報産業課商務サービスグループ サービス政策課、ヘルスケア産業課産業保安グループ 製品安全課
(敬称略)
![Page 22: スマートライフ政策について · (サービスを起点としたデータ活用) 精緻なデータの収集・分析基盤整備 サービスに有効なデータの確認](https://reader033.vdocuments.pub/reader033/viewer/2022050504/5f9669219c795f3a6a6c761f/html5/thumbnails/22.jpg)
21
スマートライフ分科会第1回(検討内容、実証概要、今後の進め方)
分科会・小委員会のスケジュール(イメージ)
スマートライフ分科会第2回(実証内容・論点の確認)
スマートライフ分科会第3回(報告書取りまとめ)
実証前(7月~8月頃)
実証期間中(8月頃~1月頃)
実証期間終了後(1・2月頃)
・ 小委員会を適宜開催して、各論点の整理
・ 小委員会を適宜開催して、各論点の整理
・ 小委員会を適宜開催して、各論点の取りまとめ
7月13日
8月頃
2月下旬
<セキュリティWG>
セキュリティのリスク評価を実施し、ユースケースとしてJEITAへ情報提供
<データカタログWG>
実証のサービスを起点として、データカタログの事例を創出し、JEITAへ情報提供
JEITA
データの信憑性の評価手法、運用・管理等に関して議論し、ガイドラインα版(案)として取りまとめる。
ユースケースを踏まえ、サービスバリューチェーン全体のフレームワークを検討し、それに基づき必要なセキュリティ水準を検討する。
電気用品調査委員会
遠隔操作報告書等見直しの中間報告について取りまとめた情報を共有する。