総務省における情報セキュリティ政策～スマートフォンの情報セキュリティ対策､国際連携によるサイバー攻撃の予知･即応等～

平成２４年５月２５日

情報流通行政局 情報セキュリティ対策室 課長補佐 中谷純之（なかたにじゅんじ）

かがわ情報化推進協議会 近未来情報化講演会四国情報通信懇談会 情報通信講演会ご説明資料

本会場は、優先席ではございませんので、携帯電話の電源をお切りになる必要はございませんが、進行の妨げや他の方へのご迷惑とならないように、ご配慮くだされば幸いです。

目 次

１．はじめに～情報セキュリティの定義や脅威～・・・ ３

２．国際比較と利用者向け対策の方向性 ・・・・・・ ９

３．政府における情報セキュリティ政策 ・・・・・・１５

４．総務省における情報セキュリティ政策～個別施策（最近の話題）～ ・・・・・・２３

（１）スマートフォンの情報セキュリティ対策 ・・・２５

（２）サイバー攻撃への対応 ・・・・・・・・・・・４３

（３）不正アクセス対策・・・・・・・・・・・・・・４９

５．さらに詳しく知りたい方へ ・・・・・・・・・・５７

2

１．はじめに～情報セキュリティの定義や脅威～

3

情報セキュリティとは

情報セキュリティの定義 （ISO/IEC 2700１）

・機密性（Confidentiality）

許可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性。

・完全性（Integrity）

資産の正確さ及び完全さを保護する特性。

・可用性（Availability）

許可されたエンティティが要求したときに、アクセス及び使用が可能である特性。

◆ 「情報セキュリティ」（Information Security）とは、情報の機密性、完全性及び可用性

を維持すること。

その他、OECDの情報セキュリティ・ガイドライン(1992年)や、米国情報セキュリティ・マネジメント法(2002年)でも同様の扱い。

セキュリティ ①安全。保安。防犯 ②担保 ③証券 （広辞苑第６版）

【英語】（英英辞典Farlex Dictionaryの「Security」を和訳）

①リスクや危険のないこと。安全、②疑いや不安のないこと。信頼、③安全を与える・保障するもの。警備。

攻撃や諜報を防ぐなど・・（略）、④義務の履行を保証するもの、⑤所有や権利を表す書類。株式や債券

4

情報セキュリティ上の脅威

○マルウェア（ウイルス、ワーム等）

◆ コンピュータシステムの破壊や、情報漏えいなどを

目的とする悪意のあるソフトウェア。

◆ ネットワークやUSBメモリなどを介して増殖するもの

も存在。

○いわゆるサイバー攻撃

◆ マルウェアの感染活動や、サーバなどへ大量の通信

を発生させる分散型サービス妨害（DDoS)攻撃など。

○不正アクセス

◆ 利用する権限を与えられていないコンピュータに対し

て、不正に接続。

◆ 個人情報や機密情報等の窃取、ユーザになりすまし

た不正行為など。

○フィッシング行為

◆ 送信者を詐称した電子メールを送りつけ､偽のウェブ

サイトへ誘導し、クレジットカード番号､ＩＤ､パスワード

などを窃取。

5

ICTは社会経済活動の基盤であると同時に我が国の成長力の鍵であるが、昨今、情報セキュリティ上の脅威の多様化・悪質化により、その被害が深刻化している。

情報セキュリティ上の脅威の変遷（多様化・悪質化） 6

危険度

愉快犯自己顕示欲、見せしめ、嫌がらせ

高度化複雑化

ウェブサイトの閲覧で感染し、データの窃盗などに悪用。

★目立たない→駆除しにくい感染ユーザは「少し調子がおかしいかな？」程度で、特段の不具合を感じない。

経済犯・組織犯金銭等の目的計画的・悪質

トロイの木馬

ボット（ロボットの略から命名）

一昔前のウィルス

ガンブラー

★目立つ→駆除しやすい

ワームメールによる感染

ネットワークによる感染

ウェブサイトによる感染

2000年 2005年 2010年

標的型サイバー攻撃

特定の組織や個人になりすましメールを送りつけるなどして、情報窃取などを行う。

感染したPCは、遠隔操作され迷惑メール、攻撃の踏み台などに悪用。

情報セキュリティ上の事案

2007年4月・・・エストニアの政府機関やメディアなどのウェブサイトが攻撃を受け、サービス停止に陥った。

2008年8月・・・グルジアの政府機関などのウェブサイトが攻撃を受け、アクセス不能な状態に陥った。

2009年7月・・・韓国、米国の金融機関や政府機関等のシステムが攻撃を受け、数日間に亘りウェブサイトへのアクセス不能な状態に陥ったことに加え、推定で27～41億円の経済的な被害が発生。

2010年9月・・・中国のハッカー組織が、日本政府機関のウェブサイトを攻撃すると表明した後、防衛省及び警察庁等のウェブサイトが攻撃を受け、３日間に亘りアクセスしづらい状態が継続。

2011年11月・・自治体のオンライン申請システムが、外部からの攻撃により一時利用できなくなる不具合が発生。

分散型サービス妨害（DDoS)攻撃

2011年4月・・・ソニーの子会社(ソニー・コンピュータエンタテイメント及び米国法人)のシステムに対する不正アクセスにより、個人情報(氏名・住所、電子メールアドレス、クレジットカード番号等)約1億人分が窃取。

2011年6月・・・シティグループのオンラインサービスが不正アクセスを受け、クレジットカードの個人情報3,400人分が流出。

2011年8月～・・・我が国のネットバンキングシステムに対する不正アクセスにより、預金の不正な引出しの被害が発生。

不正アクセス

2010年9月・・・イランの原子力発電所の制御システムにおいて、USB経由でスタックスネットと呼ばれるマルウェア感染されたとの報道。（我が国のパソコンでも、スタックスネット感染パソコンが発見された旨の報道。）

2011年8月・・・三菱重工業の社内サーバやパソコン約80台が情報収集型のウイルスに感染し、コンピュータのシステム情報が流出したおそれ。

2011年10～11月・・・衆参両院のサーバやパソコンが情報収集型のウイルスに感染していたことが報道、ＩＤ・パスワードが流出したおそれ。

2011年11月・・総務省のパソコン23台が情報収集型のウイルスに感染していたことが判明、個人情報、業務上の情報が流出したおそれ。

標的型サイバー攻撃

2008年頃～・・・パフォーマンス低下・エラー発生、機能停止、捜査当局が機器を押収、データ消失。

クラウドサービスの障害事例

7

2012年・・・架空請求詐欺アプリケーションで、ウェブサイトにおいてインストールを促すものが我が国でも確認され、感染の疑いのある相談が消費生活センターに寄せられる事態。

スマートフォン

２００７第１位 食品偽装次々と明るみに第２位 とまらない個人情報漏えい

第３位 消えた年金記録問題

２００８第１位 裏ビジネス化するサイバー攻撃第２位 青少年ネット規制法が成立

第３位 問われる認証制度の在り方

２００９第１位 クラウド台頭、セキュリティは雲の中第２位 長引く不況でセキュリティ投資低迷

第３位 台風１８号、通勤客をもてあそぶ

２０１０第１位 深刻な情報流出続発第２位 ウィキリークスを舞台に震撼が！？

第３位 クラウドセキュリティマネジメントの国際標準､日本発で検討スタート

２０１１

第１位 重要情報を狙った標的型攻撃の嵐が吹き荒れる第２位 東日本大震災で未曾有の被害第３位 サイバー攻撃が軍事力に第４位 大震災でＢＣＰ見直しが求められる第５位 スマートフォンの脅威増大第６位 ついに1億人の個人情報漏えい

出典：特定非営利活動法人日本ネットワークセキュリティ協会

セキュリティ十大ニュース 8

２．国際比較と利用者向け対策の方向性

9

調査期間：２０１１年１０月～１２月

出典：Microsoft Security Intelligence Report Volume 12

我が国のマルウェア感染率 （0.13%）は、世界平均 （0.71%）を大きく下回る。

世界のマルウェア感染率

国・地域別のマルウェア検出数（千分率）

10

27

53

40

27

26

25

23

20

15

14

13

12

11

0 20 40 60

平均

中国

ブラジル

スウェーデン

イタリア

ドイツ

フランス

インド

カナダ

豪州

米国

英国

日本

29

55

38

37

28

27

26

26

25

24

23

22

19

0 20 40 60

平均

日本

ドイツ

イタリア

フランス

豪州

中国

カナダ

英国

スウェーデン

インド

米国

ブラジル

パソコンに侵入された経験率 個人情報の安全性に不安(％)

○「誰かが遠隔操作で自分のコンピュータに侵入したことがある」という回答は、日本が最低の１１％。

○「オンラインでの個人情報の安全に不安を感じている」という回答は、日本が最高の５５％。

○「頻繁にウイルススキャンを実施している」という回答は、日本が最低の５２％

出典：２００９年４月７日「ノートンオンライン生活レポート」から作成

安全と安心と対策との関係

52

71

73

77

78

79

81

84

84

84

86

86

79

0 50 100

日本

イタリア

スウェーデン

カナダ

インド

フランス

米国

オーストラリア

ドイツ

英国

中国

ブラジル

平均

対策の実施率(％) (％)

比較的安全 他方で、対策は余りしていないしかし、不安は残る

11

情報セキュリティ上の不安の要因 12

① ４割以上の国民がインターネット利用に情報セキュリティ上の不安。

② 個人情報・知的財産保護やウイルスへの不安に加え、情報セキュリティ対策の「及第点」や

技術的な難解さに対する不安も。

③ 企業におけるネットワーク利用においても、情報セキュリティ関連が問題意識の上位。

企業におけるインターネットや企業内ＬＡＮ等を利用する上での問題点（複数回答可）

世帯におけるインターネット利用上の不安の有無（平成２２年末）

出典：平成22年通信利用動向調査

世帯におけるインターネット利用で感じる不安（複数回答可）

ＩＣＴ利用の際の不安 13

情報セキュリティ上の脅威を認識し、対策する知識があれば、

不安が軽減されると期待される。

スマートフォンの利用者の意識（アンケート結果） 14

○情報セキュリティ対策を取っている利用者は、２～４割との結果もあり、従来の携帯電話端末と同レベルで安全であるという意識を持っている利用者が多数存在。

○必要性を感じながら、実際に何をすればよいか分からない利用者も多い。

○利用者啓発の取組が行われているが、脅威及び対策手法の認知は不十分。

出典：日本経済新聞(

平成２３年６月１２日)

出典：株式会社ネットマイル(

平成２３年１２月６日)

３．政府における情報セキュリティ政策

15

情報セキュリティ政策の政府の推進体制

内閣官房を中心に関係省庁も含めた横断的な体制を整備

議長 内閣官房長官

議長代理 内閣府特命担当大臣（科学技術政策）

構成員 国家公安委員長

総務大臣

経済産業大臣

防衛大臣

遠藤 信博 日本電気株式会社代表取役執行役員社長

小野寺 正 ＫＤＤＩ株式会社代表取締役会長

土屋 大洋 慶應義塾大学大学院教授

野原佐和子 株式会社イプシ・マーケティング研究所代表取締役社長

前田 雅英 首都大学東京法科大学院教授

村井 純 慶應義塾大学教授

政府機関（各府省庁）

内閣官房情報セキュリティセンター (ＮＩＳＣ)

センター長（副長官補（安全保障・危機管理担当））

副センター長（内閣審議官）２名

情報セキュリティ補佐官 ３名

内閣参事官６名

本部長 内閣総理大臣

副本部長 内閣特命担当大臣（科学技術政策）

内閣官房長官

総務大臣

経済産業大臣

本部員 本部長及び副本部長以外のすべての国務大臣

民間有識者（１０人）

高度情報通信ネットワーク社会推進戦略本部（IT戦略本部）

情報セキュリティ政策会議 （2009年５月30日 ＩＴ戦略本部長決定により設置）

内閣官房ＩＴ担当室

室長（官房副長官補（内政））

個人企業重要インフラ事業者 等

重要インフラ所管省庁

その他の関係省庁

金融庁（金融機関）総務省（地方公共団体、情報通信）厚生労働省（医療、水道）経済産業省（電力、ガス）国土交通省（鉄道、航空、物流）

その他文部科学省（セキュリティ教育） 等

（事務局）

（事務局）

我が国の情報セキュリティに関する問題の根幹に関する事案を閣僚レベルで決定する母体

情報セキュリティ問題に関する我が国の核（ナショナルセンター）として､統一的・横断的な情報セキュリティ対策の推進による企画の立案や総合調整

16

重要インフラ専門委員会

技術戦略専門委員会

CISO等連絡会議

普及啓発・人材育成専門委員会

協力４省庁

防衛省

総務省

経済産業省

（国の安全保障）

（通信・ネットワーク政策）

（情報政策）

警察庁 （サイバー犯罪の取締り）

協力

閣僚が参画

情報セキュリティに関する各種戦略やプログラムの関係

2002年2月、内閣官房情報セキュリティ対策推進室を設置。 2005年4月、内閣官房情報セキュリティセンター（NISC；National Information Security Center）を設置。 2005年5月、IT戦略本部の下に「情報セキュリティ政策会議」（議長：内閣官房長官）を設置。以後、各種戦略・計画を情報セキュリティ政策会議において決定。

セキュアジャパン2006

（2006年6月策定）

戦略

年度毎の実施プログラム（推進計画）

2010年度 2011年度 2012年度 2013年度

「国民を守る情報セキュリティ戦略」（2010年5月策定・4か年）

2006年度 2007年度 2009年度2008年度

「第１次情報セキュリティ基本計画」（2006年2月策定・3か年）

セキュアジャパン2007

（2007年6月策定）

セキュアジャパン2008

（2008年6月策定）

セキュアジャパン2009

（2009年6月策定）

情報セキュリティ2010

（2010年7月策定）

情報セキュリティ2011

（2011年7月策定）

17

情報セキュリティ2012（予定）

骨子は策定済み

米韓サイバー攻撃

2009.7

我が国政府機関へのサイバー攻撃

2010.9

東日本大震災

2011.3

省庁ウェブサイト連続改ざん

2000.1

「第２次情報セキュリティ基本計画」（2009年2月策定）

第２次情報セキュリティ基本計画

「事故前提社会への対応強化」「合理的アプローチ」等を柱に新たな基本計画を策定

◆推進体制確立（年次報告書作成・公表等）

◆事業継続性確保の検討、 サイバー攻撃等への緊急対応能力強化

◆安全基準の整備等

◆情報共有体制の強化

◆セプターカウンシル

◆共通脅威分析、分野横断的演習の実施

◆情報セキュリティ・ガバナンスの促進

◆対策ツール提供

◆中小企業の対策促進

◆コンピュータウィルス等への対応体制の強化

政府・地方公共団体 重要インフラ 企業 個人

重要インフラ行動計画

◆ 学校や地域における情報モラル教育の推進

◆ 個人の質問対応等を行う地域サポータ育成

◆ サービス提供者のリスク情報等の提供促進

対策実施４領域に

おける取組

各所管省庁の施策 各省庁の施策

◆情報セキュリティ対策の機器・技術開発の推進

技術戦略の推進 情報セキュリティ人材の育成・確保

◆ 脅威把握の官民連携、アジアの知恵結集 ◆ 犯罪取締りのための基盤整備の推進

◆ 保有スキルの見える化、政府の人材育成横断的事項

情報提供

主体（第２

期に明記）

自身の有する情報を預ける主体：意識向上や技術的な発展の両輪を実現をすべく、関係機関が協力しながら取組を検討・推進

国際連携・協調 犯罪取締まり・保護救済

18

政府機関統一基準

国民を守る情報セキュリティ戦略(2010年～2013年)①

「国民を守る情報セキュリティ戦略」（2010年5月11日情報セキュリティ政策会議決定）

国境を越えた大規模サイバー攻撃（米国・韓国（2009年7月））、ガンブラー等 ガンプラ－ウイルス等、年々新たなウイルスが出現。攻撃手法も高度化・多様化

社会経済活動の情報通信技術への依存度の増大

情報家電、電子タグなどあらゆる機器がネットワークに接続

約８割の国民が情報セキュリティに不安感

急速な技術革新の進展

クラウド・コンピューティング技術、IPv6への移行

暗号の危殆化につながるピュータの能力向上

グローバル化の進展

国境を越えた瞬時の情報流通

各国の個人情報保護・情報セキュリティ制度の調和

現状の課題

大規模なサイバー攻撃事案等の脅威の増大

重要インフラ等の国民生活に直結するサービスの情報通信技術への依存の高まりにより、脅威（ＩＴリスク）は着実に増大。

情報セキュリティ上の攻撃手法が多様化・高度化・複雑化しており、従来の取組では対応が困難。 各国でも戦略的な取組を実施

課題に対応する新戦略の必要性

※ 第２次情報セキュリティ基本計画を包含し、４年間（2010～2013年度）を対象とした包括的な戦略

19

2020年までに、インターネットなど情報通信技術を利用者が活用するにあたっての脆弱性を克服し、全ての国民が情報通信技術を安心して利用できる環境 （高品質、高信頼性、安全・安心を兼ね備えた環境）を整備し、世界最先端の「情報セキュリティ先進国」に。

ＩＴリスクを克服し、安全・安心な国民生活を実現

サイバー空間の安全保障・危機管理政策の強化と情報通信技術政策の連携

「安全保障・危機管理」及び「経済」に「国民・利用者保護」を加えた総合的政策

情報通信技術の利活用を促進し、我が国の経済成長に寄与

国際連携の強化

基本的な考え方

① サイバー攻撃の発生を念頭に置いた政策・対処体制整備② 新たな環境変化に対応した政策の確立③ 受動的な対策から能動的な対策へ

国民を守る情報セキュリティ戦略(2010年～2013年)②

実現すべき成果目標

20

基本方針に基づく取組の重点化

基本方針

重点的な取組

情報セキュリティ2011

情報セキュリティを取り巻く環境の変化

大規模なサイバー攻撃等の脅威の高度化・多様化

○我が国政府機関へのサイバー攻撃

○標的型メール攻撃の巧妙化、新たな

脅威の出現

○大規模な個人情報漏えい

○IPv6、クラウド等に関する情報セキュリティ上

の課題

社会経済活動の情報通信技術への依存度の増大

○SNS、スマートフォンの急速な普及等

新たな技術革新への対応

○ユビキタス化

○実空間とサイバー空間の融合化 等

グローバル化

東日本大震災の発生

情報セキュリティの脅威の高度化・多様化に対応した

能動的な対応○攻撃側と防御側の非対称性を解消する「ゲーム・チェ

ンジ」のための取組の強化

○能動的で信頼性の高い（ディペンダブルな）情報セ

キュリティ（「ニュー・ディペンダビリティ」）の確保

○官民連携、国際連携の推進

○大規模サイバー攻撃に対応するため、政府横断的な

情報収集・分析システム（GSOC）の充実・強化

○スマートフォン、 制御システム、 IPv6、クラウドコン

ピューティング、SNS等の情報セキュリティ上の課題

への対応

「オープンで相互運用可能で、セキュアで、信頼性の高い

サイバー空間」の構築（Ｇ８ドービル・サミット首脳宣言）

東日本大震災を踏まえた情報セキュリティ分野に

おける対応

○耐災害性の高い情報システムの検討、再構築

○情報のバックアップや分散化等に対応した事業継続計画（BCP）の見直し

○「ダイナミックリスク対応」の観点を持ち、「リスク・マネジメント」「リスク・コミュニケーション」の確立

基本方針において、新たに重視する視点

21

（参考）セキュリティ対策は､どこまで･どのように行えばよいのか

リスク（セキュリティの対立概念）は、資産、資産を毀損する脅威、及び脅威を顕在化するぜい弱性の３要素の存在により成立。一般的なセキュリティ対策は、ぜい弱性を消すことに主眼があったところ、情報セキュリティ２０１１において、新たな視点が提示。

22

リスク移転

リスク保有

リスク回避

リスク最適化（リスク低減とも）

多少

大

小

発生頻度

被害額・影響度

リスクファイナンス：リスクが現実化したときの対策

（フォールトトレランス）

リスクコントロール：リスクが現実化しないようにする対策

（フォールトアボイダンス）頻度and/or影響を低減。例：防火壁やスプリンクラーの設置、

ＡＢＳやエアーバッグの導入

ダイナミック・リスク対応ダイナミック・リスク対応 リスク・マネージメントリスク・マネージメント

状況がダイナミックに変化する大規模災害発生時等における最適な対応。

一つのリスク対応が、別のリスクを引き起こす可能性に鑑み、リスク同士を比較考量して最適な解を模索。

正確なリスク関連情報の共有・意思疎通を図り、多様な価値観混在下で許容されるリスクを調整。

リスク・コミュニケーションリスク・コミュニケーション

「情報セキュリティ２０１１」の基本方針において、新たな視点として以下を重視。

リスクに巻き込まれないように。例：禁煙、ノロノロ運転

損失負担を他者と分担。例：保険への加入

特定のリスクの損失を負担。例：保険の免責額、引当金

一般的なセキュリティ対策一般的なセキュリティ対策

註：本スライドは、講演者が整理したものであり、一般的なセキュリティ対策の概念や政府の考え方とは異なる可能性がある。

４．総務省における情報セキュリティ政策～個別施策（最近の話題）～

23

総務省の情報セキュリティ政策の概観 ・・・・・・・２４

（１）スマートフォンの情報セキュリティ対策 ・・・２５

（２）サイバー攻撃への対応 ・・・・・・・・・・・４３

（３）不正アクセス対策・・・・・・・・・・・・・・４９

総務省の情報セキュリティ政策の概観

◆ウェブサイトによる情報提供

◆セミナーの開催等による普及啓発活動

◆スマートフォンの情報セキュリティに関する検討

1.ネットワーク 2.人 3.技術

マルウェア対策技術

多国間会議での連携APEC、OECD、 ASEAN、APT

国際標準化による技術展開ITU-T等

二国間連携の強化

◆不正アクセス防止対策に関する検討。（警察庁・経産省と共管）

◆スマートフォンの情報セキュリティに関する検討

◆電子署名法の運用（2001年施行）

○インターネット上での安心・安全な利用者

の認証の実現 （経産省・法務省と共管）

◆政府システムが利用する暗号技術の検討 （経済産業省と共管）

◆ISPのセキュリティ団体「Telecom-ISAC Japan」

○2002年に主要ISPが設立。

会員1８者(2012年４月時点)

○内閣官房NISCの「重要インフラ」対応の

中心事業者間及び官民連携・情報共有

の推進）

事業者間交流の促進

研究者交流の促進

情報共有

共同プロジェクト実施

4.国際

高度化・多様化する情報セキュリティ上の脅威に対応するため、研究開発等を推進

（民間企業・大学への委託研究や、情報通信研究機構（NICT）の成果の活用等）

利用者の意識向上安全なネットワーク環境 技術的な対応能力の向上

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.htm

ネットワーク監視技術

暗号技術

24

（１）スマートフォンの情報セキュリティ対策

25

○ 携帯電話は音声通話中心から、インターネット接続や動画像伝送等のデータ通信中心にシフト。

○ 通信方式の進展に伴い、端末やコンテンツとの連携により魅力を高めた様々なサービスが急伸。

音声中心音声中心 インターネット接続インターネット接続音楽、ゲーム等サービスの高度化

（ADSL並）音楽、ゲーム等サービスの高度化

（ADSL並）

数kbps ～384kbps ～14Mbps ～100Mbps

3.9世代LTE

（Long Term Evolution）

2001～2001～1993～1993～

第３世代高速データ通信

W-CDMACDMA2000（世界共通）

1980’s1980’s

第２世代デジタル方式PDC（日本）GSM（欧州）

cdmaOne（北米）

2006～2006～

3.5世代HSPA

EV-DO等

第１世代

アナログ方式

1979年～自動車電話

1985年～ショルダーホン

1987年～携帯電話

無線アクセス

2000年 2010年

無線LAN

11Mbps 54Mbps 300Mbps 1Gbps超高速

無線LAN高速化

広帯域移動無線アクセス(BWA)システム

広域化モバイル化

現在現在

XGP、モバイルWiMAX

（20～４0Mbps）

高度化BWA

（100Mbps）

201５年

A-XGPモバイルWiMAX

2010.12～2010.12～

携帯電話

第４世代IMT-Advanced

(光ファイバ並)(光ファイバ並)

2012年１月、ITU-R※

において勧告承認。

※ 国際電気通信連合（ITU:International Telecommunication Union）の無線通信部門（Radiocommunication Sector）

高速移動時 100Mbps低速移動時 1Gbps

現在現在

2005年

モバイルサービスの高速化 26

1968年～ポケベル

スマートフォン時代の幕開け

NTTドコモ：４兆2,243億円

ｿﾌﾄﾊﾞﾝｸﾓﾊﾞｲﾙ：１兆9,445億円

NTT：5兆1,340億円

KDD：2,230億円

KDDI（固定）：8,973億円

NTTコム：１兆334億円

NTT東日本：１兆9,571億円

NTT西日本：１兆7,580億円

ｿﾌﾄﾊﾞﾝｸﾃﾚｺﾑ：3,565億円

5兆3,570億円

その他：8,590億円

固定通信事業6兆23億円

※ 各事業者の決算資料等（KDDIについては決算短信中のセグメント別売上高、ソフトバンクグループについてはソフトバンク社の連結決算短信中のセグメント別売上高）に基づき作成。

KDDI（au）：２兆5,907億円

移動通信事業9兆6,185億円

15兆6,208億円

移動通信が牽引する国内電気通信市場の成長

昭和60年比で、主要な電気通信事業者全体の売上高は約３倍に拡大。

特に、移動通信事業の拡大が、国内電気通信市場の成長を牽引。

27

1875 1900 1925 1950 1975 2000

スマートフォン

インターネット

携帯電話

固定電話1890 ～ 1966

6年

5年

(年)

1979～1996

1992～1998

2006～2011

17年

76年

インターネットに接続されたＰＣの情報セキュリティ対策については、一足飛びに現在の状況に至ったのではなく、十数年の年月を経て醸成。

今年３月末までに、携帯電話の国内普及率が１人１台超え。

通信サービスの普及速度

出典：総務省「通信利用動向調査」及び「国勢調査」並びにNTT東日本「加入電話の推移」（固定電話及びインターネットは世帯普及率）

○ 新サービス開始から国内普及率が１０％を越えるまでの期間は、減少傾向。

○ スマートフォンは、わずか数年で普及率１０％に到達。（ともすれば市場拡大が優先されてきたとの指摘も。）

28

スマートフォンの急速な普及 29

スマートフォンの出荷台数、契約数等の推移（株式会社ＭＭ総研及び株式会社インプレスR&Dのデータを基に作成）

○スマートフォンの国内出荷台数は、平成２３年度に2,417万台で前年度比２．８倍、携帯電話端末の国内総出荷台数の半数以上（56.6％）を占める。

○契約数ベースでも見ても、今後ますますの普及が予測。

611

3072.9

9558.2

2714

8456

0

20

40

60

80

100

0

1,000

2,000

3,000

4,000

5,000

6,000

7,000

8,000

9,000

1 2 3 4 5 6

系列1

系列2

平成20年度末 21年度末 22年度末 23年度末 28年度末…

(万台) (％)

スマートフォンの契約数

携帯電話の総契約数のうちスマートフォンの比率

推定・予測

（％）【出荷台数】 【契約数】

出荷台数の半数以上がスマートフォン

③もともと、「過度な期待」をせずに購入しているため、幻滅しない？また、「２年縛り」のために、ガラケーに戻れない？

スマートフォン産業と情報セキュリティと利便性との関係

○新端末の発売を急ぐあまり、情報セキュリティ上の大きな脅威を残したまま端末が発売されるなど、スマートフォン産業の健全な発展を歪めることがあってはならない。

○最低限の対策については、いずれの事業者においても講じられることが重要。

○利便性を維持しながら、どのような情報セキュリティ対策を講ずべきかという観点が重要。

②「なんとなく格好いいし、みんなが持っているから欲しい。」という動機から、思考停止状態で購入している？（企業も？）

①売れないと困る。他方、ここまで流行るとは想定していなかったから、対策やアーキテクチャ検討が不十分？

④脅威が顕在化しないままに、急速に普及が進展し続ける・・・

⑤？

註：ガートナーのハイプ曲線に、講演者が個人的見解に基づき追記したものであり、所属元や研究会の見解を代表・表明するものではない。

【避けなければならない最悪のシナリオ】

30

一般に、端末製造事業者やソフトウェア提供事業者には先行者利益が発生

するため、他社に先んじて製品・サービスを提供し、後から情報セキュリティ

対策を講じる戦略が採られる場合があるとの指摘がある。

（０円端末という「捨てさせようとする文化」の是非についての論点も存在。）

スマートフォンを対象としたマルウェアの増加 31

スマートフォン利用にあたり､セキュリティについて感じる不安出典:マカフィー株式会社(平成２３年９月１２日)

○スマートフォンを対象としたマルウェアは増加傾向。（ただし、ＰＣの数百～数万分の１程度）

○利用者が最も不安に感じている情報セキュリティ上の不安は、ウイルスなどのマルウェア感染であるとのアンケート結果もある。

○マルウェアの侵入経路は、マルウェアを含むアプリケーションをインストールすることによって引き起こされる場合が多い。

（平成２３年１月１日～１２月３１日／累計）

Android端末に感染するマルウェア を検出するパターンファイル数出典：トレンドマイクロ株式会社

（参考）スマートフォンのマルウェアの事例 32

発見年月 名称 ＯＳ 概 要 備 考

平成１９年１１月 ikee iOS JailbreakしたiPhoneに感染し、勝手に壁紙を変更するワーム。

平成２２年８月 FakePlayer AndroidAndroidを狙った初めてのマルウェア。ロシアのプレミアムＳＭＳに勝手に送信する。

当該ＳＭＳには、ロシア国外からは送信できない。

平成２２年１２月 Geinimi AndroidAndroidを狙った初めてのボットウイルス。インストール後、端末内の情報を収集し、サーバからの指令を待つ。

有料アプリケーションの海賊版に、このマルウェアを埋め込み配付。日本語版アプリケーションも存在。

平成２３年２月DroidDrea

m Android

ＯＳのぜい弱性を突き、管理者権限を奪取するボットウイルス。起動時に、定期的にサーバと通信し、コマンドやアップデートを実行する。

有料アプリケーションに埋め込み、無料アプリケ ー シ ョ ン と し て 配 付 。 Android Market （ 現Google Play）で提供するアプリケーションの中からも検出。

平成２３年５月 Lightdd Android

アプリケーション起動なしに端末を監視し、着信や受信、通話の終了などの際に悪性コードを実行し、外部に情報を送信する。

Android Market（現Google Play）で提供するアプリケーションの中からも検出。

平成２４年１月 FakeTimer Android

電話番号やメールアドレス等を外部に送信するとともに、これらの情報とともに架空の利用料金を請求するポップアップを画面に表示させる。

日本のワンクリック詐欺サイトで用いられ、アクセスすると動画を再生するアプリケーションと称して、端末内にインストールを促す。

新たに携帯電話事業の参入が可能となるよう周波数再編を迅速に実施。

通信量の増加に対応するため携帯電話事業者のネットワーク設備等の増強や信頼性向上を促進。

モバイル通信の月間平均トラフィックは１年間で117％増。

各社のスマートフォン利用者数の増加や、動画等の大容量コンテンツの利用増加等が主要因と推測。

モバイルデータ通信トラヒックの伸び

モバイル通信のトラフィックの増加 33

無線ＬＡＮアクセスポイント

フィーチャーフォン

基地局

スマートフォン

従来の通信 スマートフォンの普及によるトラフィック増大

無線ＬＡＮへのオフロード

スマートフォンのオフロードに関する経緯・脅威 34

○ 近年のスマートフォン普及によりモバイル通信網のトラフィックが急増。

⇒無線ＬＡＮへオフロード（退避）の取組が行われている。

○ スマートフォンからの無線ＬＡＮ利用における情報セキュリティ上の脅威が浮上。

携帯電話市場の構造変化 35

✓ 携帯電話事業者が端末、ＯＳ、アプリケーション及びネットワークの全体について、情報セキュリティを確保

✓ ＯＳ、アプリケーション、ネットワークなど個別に情報セキュリティを確保

ネットワーク

ネットワーク

アプリ

ケーション

提供サイト

ＯＳ

端末

アプリケーション

提供サイト

ＯＳ

端末

スマートフォン市場

ＯＳ、アプリケーション、ネットワークなどの各レイヤーで多様なプレーヤーが展開する市場構造

Android iOS WindowsPhoneBlackBerry各端末製造

事業者の端末

各端末製造事業者の端末

iPhoneiPad

BlackBerry 各端末製造事業者の端末

Googleが企画した端末

GooglePlay

App Store

無線ＬＡＮ 無線ＬＡＮ 無線ＬＡＮ 無線ＬＡＮ

ＮＴＴドコモ ＫＤＤＩ

ソフトバンクモバイル

固定通信事業者

フリースポット等

サードパーティマーケット

サードパーティ

マーケット※

※配付可能なアプリケーションは、Research In Motionが電子署名したものに限定される。

３Ｇ無線ＬＡＮ

３Ｇ無線ＬＡＮ

３Ｇ無線ＬＡＮ

３Ｇ無線ＬＡＮ

ResearchIn Motion

Apple Microsoft

Google

従来の携帯電話市場

３Ｇ ３Ｇ ３Ｇ

iモード ezweb Y!アプリ

独自 独自 独自

ＮＴＴドコモ ＫＤＤＩ

ソフトバンクモバイル

各端末製造事業者の端末

各端末製造事業者の端末

Marketplace

App World

スマートフォンと利用者の認識 36

従来の携帯電話端末の機能に加え、高度な情報処理機能が備わった携帯電話端末。ＰＣと同様に使いたいアプリケーションを自由にインストールするなどして、利用者が自由にカスタマイズできることが特長であり、タッチパネルを搭載した製品が多い。

スマートフォンを従来の携帯電話端末と

同じ売り場で購入、又は従来の携帯電話端

末からの機種変更により入手することが多

く、従来の携帯電話の延長や高機能な携帯

電話端末と認識。

一般利用者の認識

ＰＣからスマートフォンに置き換えて利

用する形態もあることから、ＰＣに通話・

通信機能を付加したものと認識。

ビジネス利用者の認識

ＰＣとの差異

従来の携帯電話 スマートフォン ＰＣ

高度な情報処理機能 電話機能付加とモバイル化

一般利用者 ビジネス利用者

スマートフォンとは

○ハードウェアの処理能力が限られるため、情報セキュリティに避けるリソースが少ない。

○シングルユーザを想定しているため、利用者ごとの権限設定ができない。

○ファイルや通信路の暗号化などの機能に乏しい。○通話機能に加え、カメラやＧＰＳ等のデバイスが搭載されている。

ＰＣにはあるがスマートフォンにはない性質⇒ＰＣでは可能な対策を取ることが困難な場合

利便性が高いが故に、新たな脅威

37

【ＯＳの課題】○ＯＳにぜい弱性が存在○不明確なサポート期間⇒マルウェア等の攻撃にさらされる脅威

【ネットワークの課題】

○ぜい弱な公衆無線ＬＡＮが存在⇒なりすましアクセスポイントや通信傍受等の脅威

スマートフォンの情報セキュリティ上の主な課題（ここまでのまとめ）

【アプリケーションの課題】○マルウェアを含むアプリケーション

⇒情報漏えいや不正課金等の脅威

様々なプレーヤの関与（一事業者がコントロールできる範囲等に影響）

無線ＬＡＮ利用

ただし、市場に水はかけられない。

【一般利用者の意識】スマートフォンに関する脅威及び対策手法

について、必ずしも十分に認知していない。

！

38スマートフォン・クラウドセキュリティ研究会の開催

○ 本年４月27日から、最終報告(案)に対する意見募集を実施中。

○ ６月末を目途に最終報告をとりまとめ予定。

スマートフォン市場がいよいよ成長期を迎えつつある中、情報セキュリティ上の問題が発生した場合の影響の大きさや、実際に被害に関する相談・報告が寄せられ始めていることに鑑みれば、情報セキュリティ対策の強化が急務。

背 景

早急に講じなければならない当面の措置についてとりまとめるとの観点から、以下の事項につき、現実的かつ有効な方策を集中的に検討。１．携帯電話事業者及び端末製造事業者において対応が可能な対策

２．民間による検討が進んでいた業務利用ではなく、一般利用者を対象にした普及啓発策

中間報告までの検討の方向性

スマートフォンの情報セキュリティ対策について、

産学官の有識者が参画する研究会の場において、

昨年１０月に本格的な検討を開始。

これまでに大きな被害は報告されていない。

様々な場面におけるスマートフォンの利活用への期待が高まる。

被害が拡大する前段階で対処する必要があるとの認識。

中間報告を踏まえた技術的対策や普及啓発の取組。

その一方、で利用者から実際の被害に関する

相談・報告が寄せられるなど、

脅威が現実のものに。

対策の内容・主体の拡充に加え、

スマートフォンからのクラウド利用に付随する課題やその対策、

スマートフォンを安全に利用するためにクラウドを活用する方策

等について検討

※ＮＨＫや日テレ、ＴＢＳ､フジテレビ、主要紙等が会合の開催を報じた。

最終報告案の結論部分には、だいたいどんなことが書かれているのか 39関係事業者に読んでいただきたい。

利用者への普及啓発

スマートフォン情報セキュリティ３か条（利用者が最低限取るべきセキュリティ対策）

スマートフォンは、利用者自身で情報セキュリティ対策を取ることが必要。特に大切な対策は次の３点

１．ＯＳ（基本ソフト）を更新２．ウイルス対策ソフトの利用を確認３．アプリケーションの入手に注意

老若男女問わず、一般利用者の方に読んでいただきたい。

事業者に加え､事業者団体や政府を含め､様々な啓発主体に読んでいただきたい。

１．普及啓発する内容「３か条」に加え、利用者に実施を促す事項や、利用者の認識を促す事項等をとりまとめ。

２．普及啓発する方法

（１）主体別○ 携帯電話事業者：契約時の的確な説明、簡易な資料の作成○ アプリケーション提供サイトの運営者：掲載方針を開示○ 政府：政府インターネットテレビや総務省ウェブサイト等に加え、

新聞・雑誌やテレビなどのメディアの活用

（２）主体共通的な事項年齢別の対応、地域社会・消費者団体との連携。

読めば、具体的に何を実施すればよいかが

わかるような内容を企図

【ＯＳに関する対策】

○サポート終了をＯＳベンダが事前公表。

○解約後にサポートが受けられない旨注意喚起。

【アプリケーションにおける対策】○マルウェアの作成・流通・インストールの防止等⇒開発者への教育、提供サイトによるマルウェア排除の取組、対策ソフトの利用等

○利用者が自衛できる環境整備⇒アプリケーション提供サイトが掲載方針を開示、データ･デバイスへのアクセスをＯＳで個別に制御、アプリケーションの性質の可視化。

【通信路の情報セキュリティの確保】暗号化･認証の導入、無線ＬＡＮを利用する際に利用者に気づき。

事業者における対策（詳細はＰ５９～）

【端末内のデータ保護】データ暗号化､端末ロック｡

○事業者の活動や成果を定期的にフォローアップ・公表。

○アプリケーションの可視化等に向けた事業者の取組支援｡

○国際連携・国際協調。

○利用者情報や無線ＬＡＮの課題を含め、総合的に検討。

政府が果たすべき役割

註：ＯＳによっては、当てはまらない事項もある。

（参考）スマートフォンの情報セキュリティ団体 40

目的１．企業・団体における利用者が安心して高度なサービスを受けられるようにする。

２．実装すべきセキュリティレベルの理解を社会に浸透させ、提供者が安心して事業推進を行えるようにする。

３．利用者のセキュリティリテラシー向上のための活動も行い、さらに高度なサービスを受けられるようにする。

４．セキュリティを切り口とした「信頼できるニッポン！」を確立しグローバル市場へアピールする。

活動内容参加メンバー間で、スマートフォンに関するセキュリティ上の課題を共有するとともに、 解決策を検討、その結果および成果物を公開し、関係者の成長に寄与します。

◆ 一般社団法人 日本スマートフォンセキュリティ協会（JSSEC）

http://www.jssec.org/

利用部会

幹事会

幹事

理事会

理事

総会

技術部会

事務局

事務局長

会長

副会長

WG

監事

オブザーバー内閣官房情報セキュリティセンター、総務省、経済産業省、NICT、IPA、JPCERT/CC、

FISC

PR部会

・・・ WG ・・・ ・・・WG

会員数 133社(2012年3月28日現在)

【沿革】

2011年5月 通信キャリア、機器メーカ、システムインテグレータ、アプリケーション開発、サービス提供ベンダなどの利用企業ならびに関連団体などが協調し、任意団体「日本スマートフォンセキュリティフォーラム」として発足

2012年4月 一般社団法人「日本スマートフォンセキュリティ協会」に改組

（参考）ＪＳＳＥＣのガイドラインとの違い 41

スマートフォン情報セキュリティ３か条 スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン【第一版】

策定者スマートフォン・クラウド

セキュリティ研究会（総務省）日本スマートフォンセキュリティ協会

（ＪＳＳＥＣ）

用途 一般利用 業務利用（BYODを含む。)

対象 利用者 管理者

○ ビジネスユース（BYODを含む。）における管理者向けガイドライン（利用者向けではない。）。

○ デバイス毎ではなく4種のOSにより分類（タブレットも対象。）。

○ 端末、アプリケーション及びネットワークの特徴を組み合わせた利用形態と脅威の認識。

○ アドレス帳、電話、メール等の利用シーン別に、セキュリティ上の脅威とその対策を解説。

○ 計画、導入、運用及び廃棄のライフサイクルの各フェーズにおける留意点を解説。

○ セキュリティコストがメリットを上回る場合には、導入の先送りも視野。

【本ガイドラインが対象とする読者】(1) 企業や組織においてスマートフォンを導入する責任者・企画担当者(2) 企業や組織においてスマートフォンを導入する際にセキュリティポリシーを策定する責任者・担当者(3) 企業や組織においてワークスタイル変革を推進する責任者・企画担当者

スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン

スマートフォンからのクラウド利活用に関する情報セキュリティ

課題

対策

○アプリケーションが、対策の不十分なクラウドを利用している場合、情報が漏えい・ 毀損する危険性。

○利用者側でクラウドのセキュリティレベルの把握が困難。

○アプリケーションの審査主体が、クラウドの安全性も含めて審査。

○クラウドの利用の有無をアプリケーションに明示。

※ 利用が始まったばかりであることから、引き続き対策を検討。

クラウド

クラウドサービスとスマートフォンとは親和性が高い

ＰＣに比べ端末のデータ容量が少ない。

移動先でも多様な通信路でインターネット接続可能。

42

【クラウドの脅威】

○情報の漏えい、毀損

【脅威を増幅する要因】○幅広い利用者情報の保存

○利用者の無意識

○多様な端末経路で保存されたデータとの連動

○クラウド上へのデータ保存

スマートフォンで取り扱うデータを、端末やＳＤカード内ではなくクラウド上に保存することで、情報漏えいやデータ紛失の危険性を軽減。

○スマートフォン端末のシンクライアント化

スマートフォンのＯＳやアプリケーションに相当する機能をクラウド上で動作させ、処理結果を手元の端末に表示する形態を採用することで、ＯＳやアプリケーションの情報セキュリティをクラウド事業者が管理。

クラウドの活用による情報セキュリティの確保

（２）サイバー攻撃への対応

43

“ボット”の脅威

「ボット化している」とは、感染したコンピュータを遠隔で操作する機能を持ったマルウェアに感染した状態のこと。

指令者からの遠隔操作により、多岐に亘るサイバー攻撃を連携して実施。

命令に従いアップデート（新しいボットプログラムの導入）する機能や、数多くの亜種が存在するため防御・駆除が困難。

指令者の目的から、感染していることに気づきにくいように配慮されている。

SPAM（迷惑メール）

Dos，DDos(サービス妨害攻撃、脅迫)

犯罪組織等

報酬

ハーダーHERDER（指令者）

Ｃ＆Ｃサーバ（Command and Control Server）ボット感染ＰＣへの指令を中継

情報漏えい

迷

秘

ﾌｨｯｼﾝｸﾞサイト

フィッシング

感染活動

アップデート

様々なサイバー攻撃を実施

マルウェア対策ソフトによる防御・駆除が困難

ユーザが気付きにくい

○アップデート可能○亜種の増加

○異常な動作が見られない。

ボット感染ＰＣ（ボットに感染したＰＣの群を「ボットネット」という。）

♪

44

○ 経産省との連携の下、情報セキュリティ関係機関のオールジャパン体制として「サイバークリーンセンター（CCC）」を組織し、サイバー攻撃の踏み台等となるボットウイルス撲滅に向けた取組。

○ 平成１８～２２年度の５年間のプロジェクトにより、世界トップクラスの低ボット感染率※を実現。※平成１７年の約２～２．５％（４０～５０万契約）から、平成２３年には約０．６％（１９万契約）に低下（Telecom-ISAC Japan, JPCERT/CC調べ）

○ 国際的にも高く評価。我が国の成功事例を参考に、ドイツが平成２２年９月に同様の取組

を開始。

一般利用者 ブロードバンド利用者の８割以上をカバー

○新種ボットウイルスの発見 ： ３万種類

（おとりのPCを用いて発見）

⇒ 駆除ツールを作成、市販ウイルス対策ソフトにも反映

○注意喚起メール（発見された感染PC） ： ５４万通

⇒ ＩＳＰが、感染者に通知しウイルス駆除等の対策を勧奨

○感染者はCCCのサイトにアクセスし、ウイルス駆除等を実施

⇒ 駆除ツールの

ダウンロード：１４０万回

運用実績

ボットウイルス対策プロジェクト 45

体制

国別のトップレベルドメインの安全性ランキング（抜粋）

出典：米マカフィー社「危険なWebサイトの世界分布 2010」から作成

「.jp」は世界でもっとも安全な国別ドメイン

国名.jp

（日本）

.it（イタリア）

.sg（シンガポール）

.fr（フランス）

.de（ドイツ）

.uk（英国）

.ca（カナダ）

.kr（韓国）

.cn（中国）

.us（米国）

.ru（ロシア）

2010年ランキング

1位 17位 22位 28位 37位 54位 61位 64位 85位 86位 89位

2009年ランキング

1位 24位 87位 41位 19位 46位 38位 78位 92位 83位 88位

46

サイバー攻撃対応における課題 47

2007年11月

2010年6月

2010年1月

ステルス性のマルウェアの出現数

○ 我が国におけるサイバー攻撃は、海外からが半数以上を占める。（2011年3月に発生した韓国へのサイバー攻撃では、70か国746台のコンピューターが攻撃指令を発していた。）

○ 新種マルウェアの出現数の増加に伴い、既存のウィルス対策ソフトでは対処できない未知のマルウェアが増加している。また、「ステルス性のマルウェア」※が出現するなど、マルウェアの高度化しており、質・量の両面で脅威が拡大している。

海外4,958,10452%

国内4,500,40848%

○ サイバー攻撃は国境を越えて発生するため、国際連携が極めて重要。○ 高度化したマルウェアを検出するため、マルウェアの挙動観察等の高度な解析技術が必要。

サイバー攻撃の攻撃元

世界のインターネットホスト1,000台あたりのマルウェア配布サイト数（出典：「マイクロソフトセキュリティ インテリジェンス レポート第1２版」

米マイクロソフト社）

Malware distribution sites per1,000 Internet hosts (2H10)

10.0 +

2.0 to 10.0

0.5 to 2.0

0.15 to 0.5

> 0 to 0.15

0

Insufficient Data

海外からの脅威

※ 自身の存在がマルウェア対策ソフトウェアに検知されないよう細工されたマルウェア。

マルウェアサンプル数

（出典：「McAfee 脅威レポート: 2011 年第2 四半期」米マカフィー社）

2010年上半期の半年間だけで、約1,000万種もの新種マルウェアを確認

（出典：「2010年上期：マルウェア中間報告」米マカフィー社）

Cou

nt o

f m

alw

are

sam

ples

/has

hes

in th

e da

taba

se

マルウェアの増加・高度化

調査期間：２０１１年１０月～１２月

国際連携によるサイバー攻撃予知・即応技術の研究開発 48○目的：

近年、被害が拡大しているサイバー攻撃（分散型サービス妨害攻撃、マルウェアの感染活動等）に対処し、我が国におけるサイバー攻撃のリスクを軽減。

○概要：

国内外のインターネットサービスプロバイダ（ＩＳＰ）、大学等との協力によりサイバー攻撃、マルウェア等に関する情報を収集するネットワークを国際的に構築し、諸外国と連携してサイバー攻撃の発生を予知し即応を可能とする技術について、その研究開発及び実証実験を実施。

○マルウェア：コンピュータウイルスのような有害なソフトウェアの総称。○DDoS（Distributed Denial of Service）攻撃：分散型サービス妨害攻撃。多数のＰＣか

ら一斉に大量のデータを特定宛先に送りつけることにより、当該宛先のネットワークやサーバを動作不能にする攻撃。

○ハニーポット：故意に外部からの進入を容易にした囮のネットワーク機器。マルウェアの感染活動等の検知を目的にネットワーク上に設置。

○ 実施期間：平成２３～２７年度○ 予 算 額：平成２３年度当初予算 ６．３億円

平成２３年度補正予算（第４号）５．６億円

【イメージ図】

国際連携の状況

○ 昨年１１月、「第４回日・ＡＳＥＡＮ情報セキュリティ政策会議」において、ＡＳＥＡＮ各国に連携を呼びかけ。

○ 本年３月には、サイバー攻撃の予知のための研究開発の協力について、米国と合意。

○ 本年４月にモルディブと、本年５月にインドネシアとの間でデータ共有システムを稼働させ、実際に日本との情報共有を開始。

（３）不正アクセス対策

49

不正アクセスとは 50

電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与するため、不正アクセス行為の禁止等に関する法律を制定。

【内容】

（１）不正アクセス行為の禁止、処罰不正アクセス行為※を禁止し、その違反を処罰する。（１年以下の懲役又は50万円以下の罰金）

（２）不正アクセス行為を助長する行為の禁止・処罰他人の識別符号を無断で提供する行為を禁止し、その違反を処

罰する｡（30万円以下の罰金）

（３）アクセス管理者による防御措置アクセス管理者は、識別符号により利用を制限・管理している

特定電子計算機を不正アクセス行為から防御するため、必要な措置を講ずるよう努めるものとする。

（４）都道府県公安委員会及び国による援助

※ 識別符号（ＩＤ・パスワード等）により利用が制限・管理されている特定電子計算機（ネットワークに接続されたコンピュータ）に対し、ネットワークを経由して他人の識別符号を入力すること等により、本来は制限されている利用を可能にする行為

不正アクセス行為の禁止等に関する法律（平成１１年８月１３日法律第１２８号）

（出典）警察庁ウェブサイト

刑 法

【１９８７年改正】○電磁的記録不正作出及び供用（１６１条の２）○電子計算機損壊等業務妨害（２３４条の２）○電子計算機使用詐欺（２４６条の２） 等

（参考）その他の情報セキュリティ関係の法律参照条文等①

【２０１１年改正】（不正指令電磁的記録作成等）

第百六十八条の二 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録

二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録２ 正当な理由がないのに､前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も､同項と同様とする｡

３ 前項の罪の未遂は、罰する。

（不正指令電磁的記録取得等）第百六十八条の三 正当な理由がないのに、前条第一項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する。

51

サイバー犯罪に関する条約

2001年11月、欧州評議会において、サイバー犯罪の深化・蔓延に効果的かつ迅速に対処するために国際協力を行い、共通の刑事政策を採択することを目指し、「サイバー犯罪条約」が採択された。我が国も同年、同条約に署名。批准予定。

○ コンピュータ・システムに対する違法なアクセス等一定の行為の犯罪化○ コンピュータ・データの迅速な保全等に係る刑事手続の整備○ 犯罪人引渡し等に関する国際協力 等

憲 法

第二十一条 集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。２ 検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。

（高度情報通信ネットワークの安全性の確保等）第二十二条 高度情報通信ネットワーク社会の形成に関する施策の策定に当たっては、高度情報通信ネットワークの安全性及び信頼性の確保、個人情報の保護その他国民が高度情報通信ネットワークを安心して利用することができるようにするために必要な措置が講じられなければならない。

高度情報通信ネットワーク社会形成基本法

（参考）その他の情報セキュリティ関係の法律参照条文等②52

不正アクセス行為の現状 53

（出典）フィッシング対策協議会ウェブサイト 2012/1/13

不正アクセス行為の検挙が増加傾向

67 67 105 145 142277

703

1,442

1,740

2,534

1,601

37

51

6976

88

116

130 126

137

114

125

0

20

40

60

80

100

120

140

160

0

500

1,000

1,500

2,000

2,500

平成12 13 14 15 16 17 18 19 20 21 22

検挙件数

検挙人員

（件）

（年）

（人）

フィッシング詐欺

（出典）フィッシング対策協議会ウェブサイト2011/10/6

Twitterを装ったフィッシングサイト

金融機関を装ったフィッシングメール

不正アクセス防止対策に関する官民意見集約委員会 54

進行管理WG

行動計画に盛り込まれた施策の着実な実施に向けた進行管理、施策の効果検証の検討を実施。

実態把握WG

潜在化しやすい不正アクセス行為の実態を適正に把握する方策を検討。量的把握ＳＷＧなど４つ

のＳＷＧを設置

行動計画宣伝WG

行動計画を企業・団体等に周知し、行動計画に盛り込まれた施策への協力に向けた働きかけを

行うとともに、普及啓発活動を推進。ポータルサイト構築ＳＷＧなど４つのＳＷＧを設置。

不正アクセス行為防止WG

的確な取締りの強化と、アクセス管理者等による防御措置等の促進の両面から不正アクセス行為

等に対処するための各種施策を推進。フィッシング対策ＳＷＧなど４つのＳＷＧを設置。

第１回官民ボード

第２回官民ボード

第３回官民ボード

各ＷＧでの検討

各ＷＧでの検討

平成２３年６月３０日

平成２３年９月２９日

平成２３年１２月２２日

行動計画の策定

第５回・・・

○平成２３年６月、社会全体として不正アクセスの防止対策を推進するに当たり、現状の課題や改善策について、官民一体で意見を集約するため、警察庁、総務省及び経済産業省が事務局となり発足。○同年１２月２２日、第３回会合にて「不正アクセス防止対策に関する行動計画」を取りまとめ。○今後、四半期に１度程度開催し、行動計画に盛り込まれた施策の具体的な実施に向けた工程や、

取組状況のフォローアップ等を行う予定。

第４回官民ボード

ＷＧを改組ＳＷＧの設置

平成２４年４月２５日

（略称：官民ボード）

55

（１）潜在化する不正アクセス行為の実態を適正に把握○不正アクセス行為の実態を量（発生件数）・質（手口）の両面から把握○不正アクセス行為の届出等を受理する機関の間で取扱作業の方針・手順を共有し

マニュアル化 等

（２）不正アクセスの実態や対策の普及啓発○「官民ボード・ポータルサイト」（仮称）の構築、既存資料の相互利用○一般利用者向けの標語作成○被害に遭った場合の対応方法等の周知活動○最新の技術動向を踏まえた的確な情報提供 等

（３）不正アクセス行為等への対処方策○フィッシング、不正ログイン、ID・パスワードの不正流通等への法規制化の検討を

含む対策強化○セキュリティ・ホール攻撃対策等、技術的なセキュリティ対策の推進 等

（４）達成目標○不正アクセス行為の実態を適正に把握した上で、効果的な普及啓発活動や的確な

取締り・防御措置の実施を通じて、不正アクセス行為の発生件数の減少を図る

行動計画の概要

不正アクセス防止対策に関する行動計画

○会議資料 http://www.npa.go.jp/cyber/kanminboard/

○ 平成２４年３月、新たにフィッシング行為※の禁止・処罰、ＩＤ・パスワードの不正取得・不正保管の禁止・処罰等の規定を設ける不正アクセス禁止法改正法が成立。同年５月１日施行。※ 企業等になりすまして偽メールを送信し、ＩＤ・パスワードを入力させてだまし取る行為。

＜主な改正点＞

（１）フィッシング行為の禁止・処罰【新設】（１年以下の懲役又は50万円以下の罰金）

（２）ID・パスワードの不正取得・不正保管の禁止・処罰【新設】（１年以下の懲役又は50万円以下の罰金）

（３）ID・パスワードの提供行為の禁止・処罰範囲の拡張【改正】（従来はどのサービスのID・ パスワードであるかを特定した上での提供行為を禁止。今般の改正で本要件を削除。）

（４）不正アクセス行為に係る法定刑の引上げ【改正】○ 不正アクセス行為：

１年以下の懲役又は50万円以下の罰金→ ３年以下の懲役又は100万円以下の罰金

○ 相手方に不正アクセス目的があることを知ってID・パスワードを提供する行為：30万円以下の罰金 → １年以下の懲役又は50万円以下の罰金

（５）アクセス制御の高度化に係る事業を行う団体への国の援助【新設】

不正アクセス行為等の禁止に関する法律の改正のポイント 56

５．さらに詳しく知りたい方へ

57

スマートフォンの情報セキュリティに関する利用者への普及啓発

スマートフォン情報セキュリティ３か条（利用者が最低限取るべき情報セキュリティ対策）

スマートフォンは、アプリケーションを活用することで、様々な機能を自由に追加できる便利な携帯電話です。しかし

自由さの反面、その中には危険なアプリケーションが混じっている場合もあります。利用者自身で情報セキュリティ対

策を取ることが必要です。

盗難・紛失対策や他人による不正利用防止対策など、従来の携帯電話と同様の対策が必要です。さらにスマート

フォンにおいては、次の３つの対策が大切です。

１．ＯＳ（基本ソフト）を更新スマートフォンは、ＯＳの更新（アップデート）が必要です。古いＯＳを使っていると、ウイルス感染の危険性が高く

なります。更新の通知が来たら、インストールしましょう。

２．ウイルス対策ソフトの利用を確認ウイルスの混入したアプリケーションが発見されています。スマートフォンでは、携帯電話会社などによってモデル

に応じたウイルス対策ソフトが提供されています。ウイルス対策ソフトの利用については、携帯電話会社などに確認

しましょう。

３．アプリケーションの入手に注意アプリケーションの事前審査を十分に行っていないアプリケーション提供サイト（アプリケーションの入手元）では、

ウイルスの混入したアプリケーションが発見される例があります。ＯＳ提供事業者や携帯電話会社などが安全性の

審査を行っているアプリケーション提供サイトを利用するようにしましょう。インストールの際にはアプリケーションの

機能や利用条件に注意しましょう。

58

59

対策の項目

携帯電話事業者

端末製造事業者

事業者団体

アプリケーション

提供サイト運営者

その他ＯＳ提供

事業者

情報セキュリティ

事業者

対策の内容

（１）ＯＳに関する対策

ア ＯＳのぜい弱性の修正とその

修正版の提供 【Ａ、Ｗ】 ○ ○

ＯＳ提供事業者により発行されるセキュリ

ティパッチを可能な限り速やかに利用者端末

に適用。

イ ＯＳのぜい弱性情報の発見と

共有 【Ａ、Ｂ、ｉ、Ｗ】 ○

ＯＳのぜい弱性情報や、そのぜい弱性に起

因する被害状況を連携して把握し、対応方策

を検討。

○ ○ ○ぜい弱性を早期に検出するため、検査ツー

ルなどの開発。

ウ ＯＳのサポート期間に関する

対策

【Ａ、Ｂ、ｉ、Ｗ】

○ サポートを終了する場合には事前に公表。

エ ＯＳのサポートの提供ルートに

関する対策 【Ａ、Ｂ、Ｗ】○

携帯電話事業者との解約後にＯＳのサポー

トが受けられない旨、利用者に注意喚起。

事業者におけるスマートフォンの情報セキュリティ対策一覧

対策の項目

携帯電話事業者

端末製造事業者

事業者団体

アプリケーション

提供サイト運営者

その他ＯＳ提供

事業者

情報セキュリティ

事業者

対策の内容

（２）アプリケーションに関する対策

ア マルウェアやぜい弱性を含むアプリケーションの作成を減らす対策【Ａ、Ｂ、ｉ、Ｗ】

○セキュアプログラミングガイドやサンプルコード

の内容を、継続的に検証・見直しを行い、開発者の目に触れやすい媒体に最新のガイドを掲載。

○ ○ウェブサイトや開発者向け説明会の取組の中

で、情報セキュリティ確保の観点から情報提供。イ マルウェアやぜい弱性を含む

アプリケーションの流通に関する対策【Ａ、Ｂ、ｉ、Ｗ】

○マルウェアやぜい弱性を含むアプリケーション

を排除するための取組を継続・改善。

○サイトの運営方針やアプリケーション掲載方針

について、利用者への情報開示。

ウ マルウェアやぜい弱性を含むアプリケーションのインストール防止対策① マルウェア対策ソフト【Ａ、Ｂ】

○ ○ ○ マルウェア対策ソフトの導入、機能向上。

○ ○システム部分への特権的なアクセス権限を付

与する端末を開発。

○カーネル部への情報セキュリティ対策を強化し、

通常のマルウェア対策ソフトと併用。② モバイル端末管理（ＭＤＭ）【Ａ、Ｂ、ｉ、Ｗ】 ○ ○

端末の設定、ソフトウェアのバージョン管理、導入アプリケーションの制限等を総合的に行うモバイル端末管理を採用。

③ アプリケーションの性質の可視化の枠組み 【Ａ】

○アプリケーションそのものの性質を利用者が把

握できる枠組みを構築。○ ○ ○ アプリケーションの解析ツールの開発。

60

対策の項目

携帯電話事業者

端末製造事業者

事業者団体

アプリケーション

提供サイト運営者

その他ＯＳ提供

事業者

情報セキュリティ

事業者

対策の内容

エ マルウェアが端末に侵入した場合の被害軽減

①データやデバイスへのアクセスに関するＯＳによる動的制御

【Ａ、Ｂ、ｉ、Ｗ】○

電話帳データや端末内に保存されているデータ、発呼機能やＳＤカード等へのアクセスについて、ＯＳ側で柔軟にON/OFFする機能。

②カーネル部への情報セキュリティ対策

【Ａ】○

アプリケーションに付与する権限の最小化、ＯＳ機能最小化（不必要なコマンドの削除等）、改ざん検出・機能凍結。

（３）通信路の情報セキュリティの確保【Ａ、Ｂ、ｉ、Ｗ】

○暗号技術を活用した無線ＬＡＮのアク

セスポイントの普及を推進。

○スマートフォン端末側で接続先を識別

し、回線の信頼度に応じて保護レベルを変更できる仕組みを端末に導入。

○ ○無線ＬＡＮを利用する際に、利用者の

承認を求めるというように気づきを与える仕組み。

（４）端末内のデータ保護【Ａ、Ｂ、ｉ、Ｗ】 ○ ○ ○ ○ ○

事業者から利用者に対する啓発の際に、紛失・盗難対策やその留意点について、併せて伝達。

○

端末内やＳＤカード内のデータを暗号化し、データが漏出しても内容が知られることのない仕組みを端末に導入。

（５）スマートフォンから外部ネットワークへの影響に関する対策

【Ａ、Ｂ、ｉ、Ｗ】○ ○ ○ ○ ○

事業者から利用者に対する啓発の際に、スマートフォンを踏み台にした攻撃の可能性について併せて伝達。

61

62政府が果たすべき役割一覧

対策の項目 対策の内容

（１）最終報告のフォローアップ及び

産官連携の推進

事業者や政府等の取組を半年に一度程度

調査・公表。

（２）利用者情報の安心・安全な取扱

いに関する検討

総務省の「スマートフォンを経由した利用者

情報の取扱いに関するWG」で引き続き検討。

（３）アプリケーションの性質の可視化

に向けた取組との連携

調査研究や必要な協力を通じ、民間の取組

と連携。

（４）通信路の情報セキュリティ等に

関する対策

総務省の「無線LANビジネス研究会」で引き

続き検討。その結果を踏まえ、利用者向けの

無線ＬＡＮ情報セキュリティガイドラインを改訂。

（５）研究開発・人材育成の推進 利用者保護の観点からの研究開発や、中長

期的な人材育成策。

（６）国際連携・国際協調の推進 脅威や課題についての国際的な情報交換

や意見交換に努め、国際的に協調。

（参考）スマートフォン･クラウドセキュリティ研究会の周辺状況 63

国民の皆様におかれては、自分のパソコンやスマートフォン等について、そのセキュリティ関連ソフトウェアを常に最新の状態に維持するなどの対策に努めてください。

情報セキュリティの確保は、安全で安心な国民生活の実現と国際競争の中での継続的な発展に不可欠なものとなっています。官民の連携により世界最先端の情報セキュリティの実現に努めてまいります。

「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」

電気通信サービス利用者の利益の確保・向上に関する提言（平成２３年１２月２1日）

総務省では、今後のスマートフォンを標的とした

マルウェアの出現状況やそれに対する対策の状況

等を注視しつつ、スマートフォンの普及が急速に進

む中で利用者の置かれている状況を十分考慮した

上で、関係者と協力しつつ、専門家による適切な場

を設置するなどして、これらの点に関する検討を進

めていくことが必要と思われる。

「安全・安心サービスの提供の在り方」のうち、スマートフォンに係る今後の方向性

のもあり、アプリに組み込まれた「情報収集モジュール」と呼ばれるプログラムなどを通じ、利用者情報が情報収集

スマートフォンは携帯電話事業者のみによるサービスではなく、アプリケーション（アプリ）提供者やアプリ提供サイトの運用者など多くの事業者がそれぞれ役割を持ちサービスを提供しています。

スマートフォンでは多様なアプリを自ら選択してダウンロードして利用することができます。

無料のアプリ等の中には、広告を表示することによって広告主から収入を得ることでアプリの提供を実現しているものもあり、アプリに組み込まれた「情報収集モジュール」と呼ばれるプログラムなどを通じ、利用者情報が情報収集事業者や広告配信事業者等へ送信される場合もあります。

スマートフォンにおける利用者情報の取扱いは、関係する事業者において適正に行われるべきもの

であるが、スマートフォンの利用には自己責任が求められる側面もあるため、現時点でも利用者が一定程度安心して利用できるよう、利用者自身で少なくとも注意すべき事項について整理。

１ スマートフォンのサービス構造を知りましょう

スマートフォンのサービス構造

スマートフォン プライバシー ガイド① 64

スマートフォンで取り扱われる主な利用者情報

スマートフォン プライバシー ガイド②

です。また、携帯電話事業者及び端末ベンダーなどが安全性を確認しているアプリ提供サイトなども必要に応じて

スマートフォンには、電話番号、メールアドレスなど連絡先の情報、通信履歴、ウェブページの閲覧履歴、アプリの利用履歴、位置情報、写真や動画など様々な利用者情報が蓄積されます。アプリをインストールすると、これらの情報はサービス提供に活用されるほか、広告配信事業者等へ送信され、利用者の趣味・趣向に応じた広告の表示等に利用される場合もあります。

利用者情報が収集・送信されて利用されることにプライバシー上の不安がある場合、利用者も受け身ではなく、アプリの信頼性に関する情報を自ら入手し、理解するように努めるようにしましょう。

評価サイトや利用者のコメント等を参考にすることもできますが、それでも不安な場合には利用を避けることも大切です。また、携帯電話事業者及び端末ベンダーなどが安全性を確認しているアプリ提供サイトなども必要に応じて活用しましょう。

２ アプリの信頼性に関する情報を自ら入手し理解するように努めましょう

65

アプリの信頼性を確認するためには、利用者情報がどのような目的で収集されているか、必要以上の利用者情報が収集されていないかなどもヒントになります。

アプリをダウンロードする時や利用（起動）する時などに、利用者情報に関する利用許諾を求める画面が表示されることがあります。また、アプリの利用規約やプライバシーポリシーが定められ公表されている場合もあります。

利用許諾画面や利用規約等において、収集される利用者情報の範囲などをよく確認し、内容を理解した上で、同意・利用するよう努めましょう。

３ 利用者情報の許諾画面等を確認しましょう

利用者情報の利用許諾画面の例＜iPhoneの場合＞ ＜アンドロイドＯＳ搭載端末の場合＞

スマートフォン プライバシー ガイド③ 66

（参考）アンドロイドを対象とした架空請求詐欺アプリ 67○ 2012年1月、アンドロイド端末を対象とし、個人情報を取得した上、架空料金請求画面を何度も表示する

マルウェアを含むアプリケーションが確認された。

【架空請求詐欺アプリの概要】○ゲーム動画を紹介するサイトで、動画再生アプリのインストールを促される（図１）。○電話番号やメールアドレスを取得する可能性のある項目が表示（図２）。○インストールが完了し、アプリを開くと、請求画面とともにポップアップが表示され、利用料金を要求（図３）。

ウェブブラウザを閉じても、５分おきに請求のポップアップを何度も表示。○業者が取得した利用者の電話番号やメールアドレスを請求画面に表示し、「自分の個人情報が伝わってしまった」と

利用者を脅かす（図４）。

図１ 図２ 図３ 図４

○ 2012年3月、東京都は、東京都消費生活総合センターに寄せられた相談の中で、スマートフォンを狙った架空請求が激増しているとして、注意を呼びかけ。相談の中には、料金請求画面が消えなくなり、直後にサイト業者から料金請求の電話やメールが届いた事例もあったとのこと。

（参考）電話帳情報を外部に送信するアプリケーション 68

2012年4月、人気ゲームを動画で紹介するアプリケーションが、利用者の電話帳情報等を外部に送信していたことが判明。

【アプリケーションの概要】○アプリケーションは、グーグル社が運営する公

式の提供サイトであるGoogle Playで、２月頃から無料配布されていた。（グーグル社は、外部からの通報により、 ４月１３日に掲載ポリシー違反を認知、同アプリを削除）

○アプリケーションをインストールする際、「連絡先データの読込み」について、利用者に対する許諾が求められる。許諾のボタンを押すことによりインストールが実施される。

○起動すると、動画が再生されるが、同時に端末所有者の電話番号や、電話帳に登録された個人名、電話番号、メールアドレスなどを外部のサーバに送信する機能を持つ。

○この種のアプリケーションは少なくとも１６種類存在し、６万６，０００人から２７万人がインストールし、延べ数１０万人から数１００万人の個人情報が流出した可能性。

【アプリケーションが提供されていた画面】

アクセスポイント

インターネット

① 情報窃取

③ なりすまし

悪意のある第三者

利用者

不正なアクセスポイント

悪意のある第三者

④ 情報窃取

悪意のある第三者

② 不正アクセス

① 無線ＬＡＮ区間における情報窃取

② 他の端末からの不正アクセス

③ 利用者端末へのなりすまし等

④ 不正なアクセスポイントによる情報窃取

無線ＬＡＮに関する情報セキュリティ上の主な脅威 69

暗号化方式

種類 内容 強度

ＳＳＩＤアクセスポイントに指定して、接続するために利用する識別コード。アクセスポイントと

同一のSSIDを有するクライアントのみ、アクセスポイントとの接続が可能となる。△

MACアドレスフィルタリング

アクセスポイントへの接続をクライアントのＭＡＣアドレスに基づき制限する機能。

アクセスポイントに事前に登録されたＭＡＣアドレスを有するクライアントのみ、アクセスポイントとの接続が可能となる。

△

IEEE 802.1x

認証IEEE802.1xで規定されている認証の方式。 ○

種類 強度

ＷＥＰ △

ＴＫＩＰ ○

ＡＥＳ ○

アクセスポイント

利用者

不正なアクセスポイント

悪意のある第三者

？

認証

認証

暗号化

悪意のある第三者

無線ＬＡＮに関する主な情報セキュリティ対策 70

認証方式

クラウド環境における情報セキュリティの現状Webサイトのセキュリティ診断：傾向分析レポート2009（NRIセキュアテクノロジーズ(株)）

71

秘匿変換した生体情報による身元確認技術

迅速に立上げ可能で、かつ適切なセキュリティレベルで認証を実現する認証基盤技術

クラウドは、災害時における業務継続性等の確保に有用である一方、情報漏えい等情報セキュリティ上の脅威やデータの保管場所・処理方法が不明確であることなどが指摘されていることから、その普及を促進するため情報漏えいを防止する技術等の研究開発を実施。

○実施期間：平成２２～２４年度○予 算 額：平成２３年度当初予算 １．８億円

平成２３年度補正予算(第３号)５．０億円

データを暗号化したままで、検索処理や統計処理（平均値の算出等）を可能とする技術

クラウドサービスの情報セキュリティに関する情報を収集・分析することにより、クラウド内のデータの取扱い状況に関するセキュリティレベルを、利用者等が把握可能とする技術

プライバシー保護型処理技術 セキュリティレベル可視化技術

個別の情報は見えない

従来手法によるバックアップ

一般情報

機密情報

ストレージ

機密情報（秘匿）

平文バックアップデータ

秘匿バックアップデータ

差分バックアップ

差分バックアップ

第１世代

第２世代

第３世代

暗号適用によるバックアップ

第１世代

第２世代

第３世代

復旧

復旧

暗号化したまま鍵や方式の更新

クラウド

利用者利用者

暗号鍵

暗号鍵

差分の生じたデータのみを暗号化したまま更新する技術。長期間に亘ってバックアップデータの高い秘匿性を維持可能。

セキュアバックアップ技術

差分データ

認証基盤技術

秘匿型生体認証技術

ク ラ ウ ド 内 で は 、データを復号せずに処理可能

アプリケーション

ミドルウェア

ネットワーク

クラウド環境可視化分析収集

… 観測結果 秘匿化したまま定量化

○各ハードウェアやソフトウェアのレベル低下を判定○影響範囲を考慮しシステムのセキュリティ状態を算出

セキュリティレベル可視化サーバ

仮想マシンモニタ

OS OSOS

Web DBMSWeb

ﾕｰｻﾞAｱﾌﾟﾘ

ﾕｰｻﾞBｱﾌﾟﾘ

各機器のセキュリティ状態ﾚﾍﾞﾙ低下

影響

影響定量化処理

災害に備えたクラウド移行促進セキュリティ技術の研究開発 72

暗号化したまま差分更新

被害は起こらない

指令者(Herder)

中継者(C&Cサーバ)

ボット感染PC

①ターゲットに対する攻撃を指令

③指令に従いターゲットを攻撃

④サービスの停止

②指令を中継

被害サーバ

出典：内閣官房情報セキュリティセンター

ボットによるDDoS(Distributed Denial of Service)攻撃 73

ドライブ・バイ・ダウンロード攻撃

• Webサイトにアクセスしただけでマルウェアに感染させる攻撃。

• 利用者のウェブブラウザに不正コードをダウンロードさせ、マルウェア感染を引き起こす。

Niels Provos, et al. (Google), “The Ghost In The Browser,”

～ 攻撃はブラウザの中で起こっている ～

• 最初の発見：2009年4月 Gumbler攻撃

74

（参考）Gumblar攻撃の流れ

攻撃者サーバ2（情報収集用）

攻撃者サーバ1（マルウェア配布用）

マルウェア 攻撃者

攻撃者が挿入したリダイレクト命令

感染

Webサーバ1（攻撃者による改ざん済み）

Webサーバ2（ユーザがFTPアカウントを保有）

(4) FTPアカウント情報の探査と通信の監視

(6) 取得したFTPアカウント情報でFTPアクセスし，Webコンテンツにリダイレクト命令を挿入↓

75

情報セキュリティ政策会議

情報セキュリティ対策推進会議（CISO等連絡会議）

分科会

普及啓発・人材育成

専門委員会 連携

○ CISO等連絡会議幹事会構成員等からなる分科会を設置

官民連携等を通じて企業等の情報セキュリティ対策を強化するため、以下検討を行う。

(i) 政府としてとるべき方策、特に政府調達

等に際して調達先企業に求める情報セキュリティ要件

(ii) 政府と企業等との連絡・連携のあり方

(iii) 産業界の取り組みに対する政府の協力、情報提供のあり方

(iv) 企業等におけるセキュリティ文化の啓発、セキュリティ企業体質の涵養等

出典：内閣官房情報セキュリティセンター

官民連携の強化のための分科会の設置（平成２３年１０月）

** CISO: Chief Information Security Officer（最高情報セキュリティ責任者）

76

昨年１０月１４日以降、３回分科会を開催し、情報セキュリティ対策における官民連携の強化策について検討。この間、企業等におけるセキュリティ対策、セキュリティオペレーション事業者等との意見交換を実施。

○国の安全に関する重要な情報を扱う契約に情報セキュリティ条項を定める。

○各府省庁がCSIRT（*）の機能を保有するよう求め、政府CISOを設置する。

○企業等においてもCSIRTの機能を保有する取組を促進する。

○官民のネットワーク関係者間の情報共有をＮＩＳＣにおいて実施する。

○情報セキュリティ人材を育成していく機運を醸成するため、啓発活動を実施する。

官民連携の強化のための分科会における検討結果の概要

* CSIRT: Computer Security Incident Response Team : 情報セキュリティインシデントに対処するための組織の総称

経 緯

報告事項

平成２４年１月１９日 CISO等連絡会議に報告１月２４日 情報セキュリティ政策会議に報告・公表

出典：内閣官房情報セキュリティセンター

77

ＮＩＳＣは、官民の情報共有ネットワークや関係団体との連携、情報共有の結節点の役割を果たす。

出典：内閣官房情報セキュリティセンター

政府が講ずるべき情報共有等に関する対策（情報連携） 78

テレコムアイザック官民協議会

○構成員総務省、（独）情報通信研究機構（ＮＩＣＴ）及び（財）日本データ通信協会 テレコムアイザック推進会議（テレコムアイザック）３者の実務者級。

○目的昨今頻発するサイバー攻撃に対する対処方策について、情報共有を図るとともに連携して実施すべき事項について協議。

○実施内容以下の内容について、３者で連携する事項、実施体制等について議論。①DDoS攻撃対策、②標的型攻撃対策、③サイバー攻撃予知・即応技術の研究開発に関する国際連携

○今後のスケジュール本協議会の活動に資する情報の共有を随時実施する。また、成果報告等のため、会合を年２回程度実施する。

内閣官房情報セキュリティセンター（NISC）

情報セキュリティ政策会議(10/7)

情報セキュリティ対策推進会議（ＣＩＳＯ等連絡会議）(10/14)

官民連携強化のための分科会(10/14～）

テレコムアイザック官民協議会(11/14～)

サイバー攻撃対処に向けた官民会合(10/31)

79

ご静聴ありがとうございました。

総務省 情報流通行政局 情報セキュリティ対策室

電話番号：０３－５２５３－５７４９

メールアドレス：itsecurity [atmark] ml.soumu.go.jp

うどん県ではないにしても、やっぱりうどんはうまい！

ごちそうさまでした！