IoT政策の方向性と経済産業省の取組

平成２9年5月23日 経済産業省 商務情報政策局

サイバーセキュリティ課 技術戦略企画調整官 土屋 博英

1

政府・経済産業省の取組

○ 本部の所掌事務：

① 政府全体のサイバーセキュリティ戦略の案の策定、同戦略の実施推進

② 各省及び独法が守るべきセキュリティ基準の策定、それに基づく各省等の施策評価

③ 各省に対する重大なサイバー攻撃事案に関し原因究明のための調査等の実施

④ 重要な施策の調査審議、関係行政機関の経費の見積もり方針の作成、その他総合調整

サイバーセキュリティ本部

本部長 ：内閣官房長官

副本部長：サイバーセキュリティ戦略本部担当大臣

本部員 ：国家公安委員会委員長、総務大臣、外務大臣、経済産業大臣、防衛大臣、情報通信技術（IT）担当大臣、

東京オリンピック競技大会・東京パラリンピック競技大会担当大臣、有識者 ＜有識者本部員＞

遠藤 信博 日本電気株式会社(ＮＥＣ)代表取締役会長

小野寺 正 ＫＤＤＩ株式会社取締役会長

中谷 和弘 東京大学大学院法学政治学研究科 教授

野原佐和子 株式会社イプシ・マーケティング研究所 代表取締役社長

林 紘一郎 情報セキュリティ大学院大学 教授

前田 雅英 日本大学大学院法務研究科 教授

村井 純 慶応義塾大学環境情報学部長・教授

構成

サイバーセキュリティにかかる政府の体制

2

平成26年11月、サイバーセキュリティ基本法が成立。同法に基づき、平成27年1月、内閣にサイバーセキュリティ戦略本部が設

置され、同時に、内閣官房に内閣サイバーセキュリティセンターが設立

サイバーセキュリティ基本法

(事務局) 内閣サイバーセキュリティセンター（ＮＩＳＣ）

※本部等の法制化により、事務・権限を強化

警察庁

防衛省

総務省 外務省

国土交通省

各府省庁の役割分担

3

国家安全保障会議（NSC） サイバーセキュリティ戦略本部 IT戦略本部

内 閣

緊密連携 緊密連携

民間企業の対策促進、所管重要インフラ※・独法等の対策促進

サイバーセキュリティ人材育成 ※ 政府指定の重要インフラ13業種（情報通信､金融､航空､鉄道､電力､ガス､政府･行政サービス､医療､水道､物流､化学､クレジット､石油）のうち、当省所管は5業種：電力、ガス、石油、化学、クレジット

金融庁

IPA

JPCERT/CC

経済産業省

NISCからの委託等により、IPAが独立行政法人等の不正な通信の監視、監査、原因究明調査業務を実施 重要インフラ事業者に対するサイバー攻撃情報共有体制（J-CSIP）の構築 高度標的型サイバー攻撃を受けた組織への初動対応支援(J-CRAT) インシデント対応、脆弱性情報ハンドリング、インターネット定点観測システムの運用、早期警戒、 国際連携、アーティファクト分析、制御システムセキュリティ、国内の関係組織やコミュニティとの連携

厚生労働省・他

4

政府のサイバーセキュリティ政策の方向性 平成29年4月、サイバーセキュリティ戦略本部で、2020年及びその後を見据えたサイバーセキュリティの在り方の検討状況について、中間報告が行われた。

「脅威の一層の複雑化」「防護対象の拡大」「脅威のグローバル化」などに対し、更なる取組が必要として強化・加速を行う項目の検討が行われている。

国民が安全で安心して暮らせる社会の実現 ﾊﾞｰﾁｬﾙ情報連携ｾﾝﾀｰ（仮称）の構築・運用 サイバー対処態勢の深刻度判断基準の整備 政府機関・独法等における効率的・効果的防 護体制の再構築 地方公共団体におけるセキュリティ対策向上 大学におけるセキュリティ対策の向上支援 サイバー犯罪・サイバー攻撃対策の強化

国際社会の平和・安定及び我が国の安全保障 組織・分野 横断的な取組等による我が国の安全の確保 先端技術の防護 国際連携の強化（日米、日ASEAN等） サイバー犯罪・サイバー攻撃対策の国際的な連携の強化

経済社会の活力の向上及び持続的発展 ボット撲滅の推進 安全なIoTシステムの創出による国際競争力の強化（国際標準化） セキュリティに係るビジネス環境の整備

政府の重要インフラのサイバーセキュリティに関する政策 平成29年4月、サイバーセキュリティ戦略本部は「重要インフラの情報セキュリティ対策に係る第4次行動計画」を決定。

今回の計画では、「分野横断的に脅威情報等を集約する仕組みの構築」や「重要インフラ事業者におけるリスク評価の実施と、安全基準の継続的改善」等が位置づけられた。

5

① 先導的取組の推進(クラス分け)

他分野からの依存度が高く、比較的短時間のサービス障害でも影響が拡大するおそれがある分野(例：電力、通信、金融)において、一部事業者における先導的な取組（ＩＳＡＣ※の設置やリスクマネジメントの確立等）を強化・推進 ※所属事業者間で秘密保持契約を締結するなど、より機密性の高い情報の共有等を目的とした組織

上記先導的な取組みの、当該重要インフラ分野内の他の事業者等及び他の重要インフラ分野への展開による我が国全体の防護能力の強化

② オリパラ大会も見据えた情報共有体制の強化 ③ リスクマネジメントを踏まえた 対処態勢整備の推進

「機能保証に向けたリスクアセスメントガイドライン」の提供及び説明会の実施等によるリスクアセスメントの浸透

事業継続計画及び緊急時対応計画（コンティンジェンシープラン）の策定等による重要インフラ事業者等の対処態勢の整備

事業者等における内部監査等の取組において、リスクマネジメント及び対処態勢における監査の観点の提供等による「モニタリング及びレビュー」を強化

サービス障害の深刻度判断基準の導入に向けた検討 連絡形態の多様化（連絡元の匿名化、セプター事務局・情報セキュリティ関係機関経由）による情報共有の障壁の排除。分野横断的な情報を内閣官房に集約する仕組みの検討

ホットライン構築も可能な情報共有システムの整備（自動化、省力化、迅速化、確実化）

情報連絡・情報提供の範囲にＯＴ、ＩｏＴ等を含むことを明確化（ＩＴ障害→重要インフラサービス障害）

演習の改善、演習成果の浸透による防護能力の維持・向上

サプライチェーンを含む「面としての防護」に向け範囲の拡大

（資料）サイバーセキュリティ戦略本部資料より一部抜粋

重要インフラの情報セキュリティ対策に係る第４次行動計画の重点

人材育成・技術力強化 最新のセキュリティに関する知識・技能を備えた、高度かつ実践的な人材に関する国家資格の創設（情報処理安全確保支援士）。 優秀なセキュリティ人材の早期発掘（セキュリティキャンプ、未踏IT人材発掘・育成事業等）。 産業サイバーセキュリティ推進センターを設置（平成29年4月）し、セキュリティ対策の中核人材を育成。

国際連携 海外との連携により、サイバー攻撃に対処。

経済産業省のサイバーセキュリティ対策の全体像

情報共有・初動対応支援体制の強化 IPAが企業から収集した攻撃情報を解析、迅速に共有することにより被害拡大を防止。また、緊急時の初動対応支援。 重要インフラ事業者の対策強化 ペネトレーションテストの実施等により、重要インフラシステム等のリスク分析、改善計画策定等を実施。

基盤的な取組み

国による監視・監査・調査の対象を、従来の中央省庁に加え、独法と一部の特殊法人等に拡大。独法等の監査、監視はIPAに委託。

経営ガイドラインの策定（平成28年12月改訂） 経営者が認識すべき原則と、経営者が情報セキュリティ対策の担当幹部に指示すべき重要事項等をまとめたもの。 中小企業の情報セキュリティ対策ガイドラインの策定（平成28年11月） 企業のレベルに合わせて段階的にステップアップできるような構成で、中小企業が取り組むべき対策を解説 IoTセキュリティガイドラインの策定（平成28年7月） IoT機器やシステム、サービスに対して適切なサイバーセキュリティ対策を検討するための考え方をまとめたもの。

重要インフラを守る取組み 企業を守る取組み

政府機関を守る取組み

6

①サイバー攻撃の脅威の認識 情報共有

リスク分析・評価

企業活動におけるサイバーセキュリティ対策の推進 企業にとって、自然災害等の脅威に比べ、サイバー攻撃の脅威は肌感覚では認識しがたいもの。また、サイバー攻撃の脅威は、日々、高度化を続けている。

このため、経営者において、①模擬攻撃等を通じたリスク分析によりサイバー攻撃の脅威を正しく認識し、②システム更新・人材育成等のセキュリティを高めるための投資を行い、さらに、③これらを企業活動における継続的サイクルとして根付かせていく、というアプローチが有効。

我が国において、こうした企業活動を定着させ、経済活動として循環させていくことにより、セキュリティ産業を振興・強化していく。

産業の振興･

強化

②セキュリティ投資の実施 社内システム等へのセキュリティ投資

• 社内システムの改善 対策の中核を担う人材の育成・配置

• 産業サイバーセキュリティセンターの活用 • セキュリティ人材のキャリアパス構築

③ 継続的サイクルとして定着

7

【サイバーセキュリティ対策を実装するためのプロセス】

「産業サイバーセキュリティセンター」の設立 平成29年4月、情報処理推進機構（IPA）に産業サイバーセキュリティセンター(Industrial Cyber

Security Center of Excellence, ICSCoE)を設置。電力、ガス、鉄鋼、石油、化学、自動車、鉄道、ビル、空港、放送、通信、住宅等の各業界60社以上から約80名の研修生を受け入れ、実践的な演習・対策立案等のトレーニング（約1年）を行う。

模擬プラントを用いた演習や実システムの安全性検証等の実践経験を通じて、重要インフラ・産業基盤のサイバーセキュリティ対策の根幹を担う人材・技術・ノウハウを生み出す。

他業界や同業他社のセキュリティ責任者やホワイトハッカー等の専門家、海外有識者等との人脈を形成した人材が、各社において総合的なセキュリティ戦略立案を担う。

模擬プラントを用いた対策立案 情報系システムから制御系システムまでを想定した模擬プラントを設置。専門家と共に安全性・信頼性の検証や早期復旧の演習を行う。 海外との連携も積極的に実施。

実際の制御システムの安全性・信頼性検証等 ユーザーからの依頼に基づき、企業が今後導入する制御システムやIoT機器の安全性・信頼性を検証。 あらゆる攻撃可能性を検証し、必要な対策立案を行う。

攻撃情報の調査・分析 おとりシステムの観察や民間専門機関が持つ攻撃情報を収集。新たな攻撃手法等を調査・分析。

IPA 産業サイバー

セキュリティセンター

政府関係機関 有名大学

ベンチャー企業

国内大学 研究機関等 制御システム

セキュリティセンター

海外

など

8

9

重要インフラ事業者に対するサイバー攻撃情報共有体制（J-CSIP）の構築

電力・ガス等の重要インフラ企業に対するサイバー攻撃の情報共有が、組織的な防御力向上に不可欠。

IPAは、重要インフラ事業者に対するサイバー攻撃情報共有体制を構築。 （J-CSIP（ジェイシップ）：Initiative for Cyber Security Information

sharing Partnership of Japan、7業種、87組織が参加） 公的機関としての信頼性を基に、秘密保持等契約を結び、企業から情報を収集、解析、秘匿化し、迅速に共有することにより被害拡大を防止。

攻撃手口を解析し、提供者の営業秘密等保護のための匿名化を行った上で共有。

サイバー攻撃情報の収集

重要インフラ等企業（重工、電気、ガス、化学、石油、資源開発、自動車、クレジット：8業種115組織）

共有件数 （700件以上）

（2012年5月からの累計）

【J-CSIPの仕組み】

高度標的型サイバー攻撃を受けた組織への初動対応支援

平成26年7月、IPAに、個々の組織の能力では対処困難な、高度標的型サイバー攻撃を受けた組織に対する初動対応を行う「サイバーレスキュー隊(J-CRAT)」を立ち上げ。

（J-CRAT（ジェイ・クラート）：Cyber Rescue and Advice Team against targeted attack of Japan）

最初の標的となり、対応遅延が社会や産業に重大な影響を及ぼすと判断される組織（主として、重要インフラ事業者、業界団体・独法等）に対して支援を実施。

サイバーレスキュー隊

経済社会に被害が拡大するおそれが強く、一組織で対処が困難な深刻なサイバー攻

撃の発生

政府関係機関、 業界団体等

政府関係機関 業界団体

サイバー 攻撃

標的 事業者

入手した情報を 使った標的型攻撃

標的 事業者

標的 事業者

サイバー 攻撃

関連事業者の リスト流出

業務メール の流出

サイバー 攻撃

個人情報流出 知財情報流出 取引情報流出

【標的型サイバー攻撃の連鎖】

初動時の緊急処置の助言、被害状況の理解促進、対応体制の早急な立ち上げの支援

【サイバーレスキュー隊の活動】 サイバー 攻撃

10

支援数 ３２１件（累計） ※2016年度末時点

11

インシデントへの対応支援

一般社団法人JPCERT/CCは、国内におけるインシデントへの対応支援も実施。 例えば、被害者や発見者から、ウェブサイト改ざん、DoS・DDoS等のサービス妨害攻撃、マルウエア配付サイトや、マルウエア添付メール等によるシステムへの不正侵入などのインシデント報告を受けて、ISP・ASP事業者やシステム管理者等に連絡し、インシデント発生元への対応依頼など、被害拡大の抑止を実施。

※ISP:インターネットサービスプロバイダ。ASP：アプリケーションサービスプロバイダ

①インシデン

ト報告

③停止や削除等の対応

サーバー管理者等

発見者

②連絡

フィッシングサイト

被害企業

対応 助言

【インシデント対応のイメージ】 【JPCERT/CCが報告を受けたインシデント件数の割合】

（出典）JPCERT/CCインシデント報告対応レポート(2016年7月1日～9月30日)より作成

スキャン 39.2%

Webサイ

ト改ざん 19.8%

フィッシン

グサイト 16.7%

マルウエ

アサイト 12.0%

DoS/DDoS 1.9%

標的型 攻撃 0.4%

制御シス

テム関連 0.2%

その他 9.9%

12

IoTセキュリティガイドラインの策定と標準化

自動車へのハッキングよる遠隔操作 監視カメラの映像がインターネット上に公開

携帯電話網経由で遠隔地からハッキング

カーナビ経由で ハンドル、ブレーキを含む制御全体を奪取。

人命にも関わる事故が起こせることが証明され、 自動車会社は140万台にも及ぶリコールを実施。

セキュリティ対策が不十分な日本国内の多数の監視カメラの映像が海外のインターネット上に公開。 （ID, パスワードなどの初期設定が必要）

利用者が気づかないまま、WiFi等を通じてインターネットに接続

攻撃者 攻撃者

IoTの新たなセキュリティ上の脅威

IoTでは、これまで接続されていなかった自動車やカメラなどの機器が、WiFiや携帯電話網などを介してインターネットに接続されることにより、新たな脅威が発生し、それに対するセキュリティ対策が必要となった。

13

IoT推進コンソーシアムについて

14

IoT／ビッグデータ／人工知能時代に対応し、企業・業種の枠を超えて産学官で利活用を促進するため、民主導の組織として「IoT推進コンソーシアム」を設立。（平成27年10月に設立。）

技術開発、利活用、政策課題の解決に向けた提言等を実施。 当初700社程度だった会員数は、現在、2400社程度まで伸張。

IoT セキュリティＷＧ

IoT機器に関するガイドラインの 検討等

先進的ﾓﾃﾞﾙ事業推進ＷＧ （IoT推進ラボ）

ﾈｯﾄﾜｰｸ等のＩｏＴ関連技術の開発・実証、標準化等

技術開発ＷＧ （スマートIoT推進フォーラム）

先進的なﾓﾃﾞﾙ事業の創出、規制改革等の環境整備

総 会 運営委員会 （15名）

会長 副会長

総務省、経済産業省 関係省庁等

協力 協力

村井 純 慶應義塾大学 環境情報学部長兼教授

鵜浦 博夫 日本電信電話株式会社 代表取締役社長 中西 宏明 株式会社日立製作所 取締役会長 代表執行役

会長

副会長

データ流通 促進ＷＧ

データ流通のニーズの高い分野の課題検討等

会員数2,387社 （H28.9.20現在）

＜団体概要＞ ARM、 CISCO 、Dell、Intel、Microsoft、プリンストン大学などが中心となり、2015年11月19日に設立。オープンアーキテクチャーおよび分散（処理）コンピューティングの開発（Fogコンピューティング技術）の加速を目指す。

＜MOU締結の狙い＞ 特にリアルタイム性や大量のデータ処理等が求められる分野のIoTソリューションを見据え、分散コンピューティングを意識した実証や標準化等につき、連携を促進する。

国際連携

オープンフォグコンソーシアム （OpenFog Consortium）

インダストリアルインターネットコンソーシアム（IIC） （Industrial Internet Consortium）

＜団体概要＞ AT&T、CISCO、GE、IBM、Intel米国5社を創設メンバーに、2014年3月に設立。産業市場におけるIoT（Internet of Things）関連の産業実装を推進していくことを目指す。

＜MOU締結の狙い＞ 実証環境の共有や、共通のアーキテクチャ理解に基づいた実証の実施により、効率的かつ効果的なグローバルIoTソリューションの創出が可能となる。

連携のポイント グッドプラクティスの発掘・共有 テストベッドや研究プロジェクトの協力 アーキテクチャ等の相互運用性の確保 標準化に関する協力 その他両機関が合意した分野の協力

15

IoT推進コンソーシアム（ITAC）と、米国のインダストリアル・インターネット・コンソーシアム（IIC）及びオープンフォグ・コンソーシアムとの間で、IoT分野の協力に係る覚書への署名

IoT分野の取組み等を進めることにより、第四次産業革命の実現に向けた動きを加速

16

IEC SEG 7に提案

17

18

IoTセキュリティガイドラインの策定 経済産業省・総務省・民主導のIoT推進コンソーシアムが連携し、「IoTセキュリティガイドラインver1.0」を公表（2016年7月）。

IoTセキュリティＷＧにおいて、IoT機器の設計・製造等に関わる製造事業者や、IoTの運用等に関わる企業利用者及び一般利用者向けのセキュリティガイドラインとなっている

＜第１回 IoTセキュリティWG（1月21日）＞

平成28年春頃まで サブWGを開催 －機器設計・製造・管理サブＷＧ －ネットワークサブＷＧ 平成28年4月22日 第2回WGを開催 ガイドライン（案）取りまとめ 平成28年6月1日 電子政府の総合窓口を通じ、６月14日までの間、 意見募集を実施 平成28年７月５日 意見募集の結果及び 「IoTセキュリティガイドラインver1.0」を公表

本ガイドラインの目的は、IoT特有の性質とセキュリティ対策の必要性を踏まえて、 IoT機器やシステム、サービスについて、その関係者がセキュリティ確保の観点から求められる基本的な取組を、セキュリティ・バイ・デザインを基本原則としつつ、明確化することによって、産業界による積極的な開発等の取組を促すとともに、利用者が安心してIoT機器やシステム、サービスを利用できる環境を生み出すことにつなげるもの。

なお、本ガイドラインの目的は、サイバー攻撃などによる被害発生時における関係者間の法的責任の所在を一律に明らかにすることではなく、むしろ関係者が取り組むべきIoTのセキュリティ対策の認識を促すとともに、その認識のもと、関係者間の相互の情報共有を促すための材料を提供することである。

本ガイドラインは、その対象者に対し、一律に具体的なセキュリティ対策の実施を求めるものではなく、守るべきものやリスクの大きさ等を踏まえ、役割・立場に応じて適切なセキュリティ対策の検討が行われることを期待する。

IoTセキュリティガイドラインの目的

19

指針 主な要点

方針 IoTの性質を考慮した 基本方針を定める

• 経営者がIoTセキュリティにコミットする • 内部不正やミスに備える

分析 IoTのリスクを認識する • 守るべきものを特定する • つながることによるリスクを想定する

設計 守るべきものを守る 設計を考える

• つながる相手に迷惑をかけない設計をする • 不特定の相手とつなげられても安全安心を確保できる設計をする • 安全安心を実現する設計の評価・検証を行う

構築・ 接続

ネットワーク上での 対策を考える

• 機能及び用途に応じて適切にネットワーク接続する • 初期設定に留意する • 認証機能を導入する

運用・ 保守

安全安心な状態を維持し、 情報発信・共有を行う

• 出荷・リリース後も安全安心な状態を維持する • 出荷・リリース後もIoTリスクを把握し、関係者に守ってもらいたい ことを伝える

• IoTシステム・サービスにおける関係者の役割を認識する • 脆弱な機器を把握し、適切に注意喚起を行う

一般利用者のためのルール • 問合せ窓口やサポートがない機器やサービスの購入・利用を控える • 初期設定に気をつける • 使用しなくなった機器については電源を切る • 機器を手放す時はデータを消す

IoT機器やシステム、サービスの提供にあたってのライフサイクル（方針、分析、設計、構築・接続、運用・保守）における指針を定めるとともに、一般利用者のルールを定めたもの。

各指針等においては、具体的な対策を要点としてまとめている。

IoTセキュリティガイドラインについて

20

IoTは、様々な分野に浸透していくことになるが、分野ごとに求められるセキュリティレベルが異なるため、多くのIoT機器が利用されている、もしくは利用が想定される分野では、具体的なIoTの利用シーンを想定し、詳細なリスク分析を行った上で、その分野の性質、特徴に応じた対策を検討する必要がある。

IoTにおいては、製造メーカ、SIer、サービス提供者、利用者が複雑な関係になることが多い。よって、サイバー攻撃により被害が生じた場合の責任の在り方については、今後出現するIoTサービスの形態や、IoTが利用されている分野において規定されている法律などに応じて整理を行っていく必要がある。

上記のような検討事項の取組や、IoTを取り巻く社会的な動向、脆弱性・脅威事象の変化、対策技術の進歩等を踏まえて、今後、必要に応じて改訂を行っていく必要がある。

IoTシステムでは、利用者の個人情報等のデータを保持・管理等を行う者又は場所が、サービスの形態により変わってくる。IoTシステムの特徴を踏まえつつ、個人情報や技術情報など重要データを適切に保持・管理等を行うことが必要であり、その具体的な方法について、検討していく必要がある。

IoT社会の健全な発展の実現には、既に実施されている、情報処理推進機構（IPA）、情報通信研究機構（NICT）、JPCERT/CC及びTelecom ISAC Japan(ICT ISAC Japan)のサイバーセキュリティに関する取組に加え、一般利用者に対するIoT機器のマルウェア感染に関する注意喚起などの取組について、官民連携による強化を検討する。

今後の検討事項

○ リスク分析に基づく分野別の対策について

○ 法的責任関係について

○ IoT時代のデータ管理の在り方について

○ IoTに対する総合的なセキュリティ対策について

○ 本ガイドラインの見直しについて

21

IoTの進展により、ネットワークに接続する機器の数が莫大に増える中で、個々のIoT機器に対するサイバー攻撃も増加。IoT機器・サービスのセキュリティ対策を講じる必要。

2016年7月に経済産業省・総務省・IoT推進コンソーシアムが策定した「IoTセキュリティガイドライン」について、海外とも協力しながら、ISO/IECの国際標準化に向けた取り組みを推進。

これまでの取組 昨年７月にIoTセキュリティガイドラインを策定。 ４月、 ISO/IEC JTC 1/SC 27総会で6ヶ月のスタディピリオド（WG 4）開始が決議。10月に新規提案予定。

今後の予定 今後、情報処理学会の委託事業対応委員会において検討を進め、ISO/IEC JTC 1/SC 41およびSC 27/WG 4に新規開発提案。

委託事業対応委員会には、専門家だけでなく、総務省、経済産業省、NISCもオブザーバとして参加

2019年までの経済産業省委託事業として国際標準開発を推進。

IoTセキュリティガイドラインの国際標準化 サイバーセキュリティ

22

情報処理学会 情報規格調査会 経産省

IoTセキュリティガイドライン 国際標準化委員会

委託

運営

ＳＣ ２７国内ＷＧ ４

国際ＳＣ ２７/WG 4へ提案済

ＳＣ ４１国内委員会

国際ＳＣ ４１へ提案 （5月予定）

ＷＧ

第2種専門委員会

ご清聴ありがとうございました

23