我が国のサイバーセキュリティ政策に関する現状と … 2014...基本戦略...

我が国のサイバーセキュリティ政策に関する現状と今後 (参考資料)

1

（参考）我が国における基本戦略・推進体制の推移

基本戦略

推進体制

① 内閣官房情報セキュリティセンター（ＮＩＳＣ）（2005.4 設置）

② 情報セキュリティ政策会議（2005.5 設置）

③ ＧＳＯＣ（2008.4 運用開始）

２００６２００７２００８２００９

【中長期計画】

【年次計画】

内閣官房情報セキュリティ対策推進室（2000.2設置）

２０１０２０１１２０１２サイバー

セキュリティ

２０１３

サイバーセキュリティ戦略

国民を守る情報セキュリティ戦略（2010.5.11 情報セキュリティ政策会議決定）

第１次情報セキュリティ基本計画（2006.2.2 情報セキュリティ政策会議決定）

第２次情報セキュリティ基本計画（2009.2.3 情報セキュリティ政策会議決定）

（2013.6.10 情報セキュリティ政策会議決定）

ＮＩＳＣの

機能強化等 ④ ＣＹＭＡＴ（2012.6 設置）

e-Japan 戦略（2001.1）

e-Japan戦略Ⅱ （2003.7）

IT新改革戦略（2006.1）

i-Japan 戦略2015 （2009.7）

世界最先端ＩＴ国家創造宣言（2013.6.14 IT総合戦略本部決定・閣議決定）

新たな情報通信技術戦略（2010.5）

省庁ＨＰ連続改ざん

2000.1

米韓ＤＤｏｓ攻撃

Gumblar 猛威

制御ｼｽﾃﾑ Stuxnet攻撃

標的型攻撃組織的高度化

遠隔操作ウィルス

感染PCによる不正送金

新領域としてのサイバー空間

9.18 攻撃

政府の役割・機能の見直し

米国同時多発

テロ 2001.9

DNSキャッシュポイズニング

ボットネットによる攻撃 Winny

フィッシング詐欺スパイウェア

誘導型攻撃の出現

Webサーバの脆弱性への攻撃

各省における試行錯誤

サイバー攻撃への対応を中心とした対策実施時期

IT障害への対応も含めた

総合的な対策基盤づくりの推進「事故前提社会」への対応力強化など成熟

した情報セキュリティ先進国へ向けた取組み

サイバー攻撃事態発生を念頭においた危機管理等の観点からの対処態勢の整備等の取組みの重点化

リスクの深刻化の進展に対応した国家安全保障・危機管理等の観点からの取組みの強化

年度 2000 2004 2005 2009 2013 2006 2010 2015

水飲場型攻撃

重要インフラへの攻撃

（2004.12）

Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved.

議長内閣官房長官議長代理情報通信技術（ＩＴ）政策担当大臣構成員国家公安委員会委員長総務大臣外務大臣経済産業大臣防衛大臣

有識者（７名）

政府機関（各府省庁）

センター長（内閣官房副長官補［事態対処・危機管理担当］）副センター長（内閣審議官）内閣参事官情報セキュリティ補佐官

本部長内閣総理大臣副本部長情報通信技術（ＩＴ）政策担当大臣内閣官房長官総務大臣経済産業大臣本部員本部長及び副本部長以外のすべての国務大臣内閣情報通信政策監（政府ＣＩＯ）有識者

高度情報通信ネットワーク社会推進戦略本部（IT総合戦略本部）

情報セキュリティ政策会議（2005年5月に設置）

内閣官房ＩＴ総合戦略室

室長（政府ＣＩＯ）

警察庁庶務協力５省庁

防衛省

総務省

経済産業省

（サイバー犯罪・攻撃の取締り）

（国の防衛）

（通信・ネットワーク政策）

（情報政策）

個人企業

協力

（事務局）

閣僚が参画

（事務局）

重要インフラ専門委員会

技術戦略

専門委員会

情報セキュリティ対策推進会議

（ＣＩＳＯ等連絡会議）

普及啓発・人材育成

専門委員会

重要インフラ事業者等

重要インフラ所管省庁

その他の関係省庁

金融庁（金融機関）総務省（地方公共団体、情報通信）厚生労働省（医療、水道）経済産業省（電力、ガス、化学、石油、クレジット）国土交通省（鉄道、航空、物流）

その他文部科学省（セキュリティ教育）等

内閣官房情報セキュリティセンター (NISC 2005年4月に設置)

情報セキュリティ緊急支援チーム

（ＣＹＭＡＴ）

外務省（外交・安全保障）

（参考）我が国におけるサイバーセキュリティ政策の推進体制

政府機関・情報セキュリティ横断監視・即応調整チーム（ＧＳ

ＯＣ）

2

IT利活用セキュリティ総合戦略推進部会


（参考）サイバーセキュリティ戦略（平成25年6月10日情報セキュリティ政策会議決定）概要

3 Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved.

（参考）「サイバーセキュリティ戦略」における主な取組み政府機関・独立行政法人等重要インフラ事業者企業・一般個人

「強靱な」サイバー空間（守り強化）

●機微情報を守るためのﾘｽｸ評価手法

の確立・統一基準の見直し

●GSOCの強化、CYMAT・CSIRTとの連携による的確・迅速な対応

●対処訓練の実施、警察・自衛隊等の関係機関の役割整理

●SNS・グループメールを含む新サービスに伴う新たな脅威への対応 ●サイバー（3.18）訓練

●重要ｲﾝﾌﾗの範囲拡大や安全基準見直し等行動計画の見直し

●政府機関やシステムベンダー等との情報共有の強化

●事業継続確保のための分野横断的な演習

●重要インフラで利用される制御機器等を国際標準に則って評価・認証するための基盤構築

●スマートフォン不正アプリへの対応

●情報セキュリティ月間・「サイバーセキュリティの日」創設

●普及啓発プログラム（2011年情報セ

キュリティ政策会議）の改訂

●税制など中小企業のセキュリティ投資の促進

●ISP等による個人への感染に関する注意喚起などIT 関係事業者の取組

●ログ保存の在り方検討などサイバー犯罪の事後追跡可能性の確保

「活力ある」サイバー空間（基礎体力）

「世界を率先する」サイバー空間（国際戦略）

組織体制 ●NISCの機能強化（サイバーセキュリティセンター（仮称）への改組：2015年度目途）

●人材育成プログラム（２０１１年情報セキュリティ政策会議）の改訂

●研究開発戦略（２０１１年情報セキュリティ政策会議）の見直し

●日米

●日ＡＳＥＡＮ

●サイバー空間の国際規範づくり等に関する会議【昨年１０月：ソウル会議】

●共同意識啓発活動

●日英

●日印

●日露

●日ＥＵ

●ＩＷＷＮ注２ ●ＭＥＲＩＤＩＡＮ注３・ＧＳＯＣの強化・ＧＳＯＣ保有情報の重要インフラ事業者との共有の仕組み・必要な人材等の在り方等

●国際戦略の策定【昨年１０月】

〈注３〉

重要インフラ防護等のベストプラクティス共有や国際連携等に関する意見交換。米・英・独・日等の政府機関が参加。

〈注２〉

サイバー空間の脆弱性、脅威、攻撃に関する国際的取組の促進。米・独・英・日等の政府機関、CERTが参加

〈注１〉

日・ASEAN情報セキュリティ政策会議。各国局長級が参加。

4

等

（参考）GSOC 政府機関・情報セキュリティ横断監視・即応調整チーム

Ｂ省

Ａ省

Ｃ省

攻撃及びその準備動作

ＧＳＯＣセンサー群政府横断的な情報収集・監視機能

①リアルタイム横断的監視分析力の飛躍的向上

③不正プログラムの分析・各種脅威情報の収集

②警告・助言的確・迅速な情報共有による各

省庁の対応力向上

標的型攻撃メールの送付

ＧＳＯＣセンサー

インターネット



未知のウイルスの解析とｱﾝﾁ・ｳｲﾙｽｿﾌﾄでの防御

ソフトウエアの脆弱性対策情報等配信

政府機関ホームページの障害監視と対応依頼

ＧＳＯＣ

攻撃者

ＮＩＳＣ

● 平成20年4月 GSOCの運用開始（８時間運用） ● 平成21年1月 24時間対応開始 ● 平成25年４月現行GSOCシステム運用開始 ● 平成29年（2017年）次期システムへ移行

【Government Security Operation Coordination team 】

8


（参考）GSOC、CYMATとCSIRTの連携強化：政府機関における情報集約・支援体制の枠組み


（参考）「政府機関の情報セキュリティ対策のための統一基準群」の概要について

Ｚ

◆ 不明確で分かりにくい基準の明確化 ◆ 新たな脅威への対応のための基準の追加

現行の統一基準群の課題と改定の概要

主な改定内容（※）

◆ 標的型攻撃への対策

（※「サイバーセキュリティ戦略」（平成25年6月情報セキュリティ政策会議決定）において決定された事項を踏まえ検討。）

◆ サプライチェーン・リスクへの対策

内部対策の強化が重要

A国製部品

B国で組立

C国製ソフト

D国に下請け

E国でｲﾝｽﾄｰﾙ

府省庁端末

◆ 分かりやすく、守られやすい基準

（現行の統一基準における規定の例）行政事務従事者は、障害・事故等の発生を知った場合には、

それに関係する者に連絡するとともに、統括情報セキュリティ

責任者が定めた報告手順により、障害・事故等に対応する責

任者、及び障害・事故等に対応する責任者を通じて最高情報

セキュリティ責任者にその旨を報告すること。

（見直し案）行政事務従事者は、情報セキュリティインシデントを認知した場合には、各府省庁

の報告窓口に速やかに連絡し、指示に従うこと。

・特定の組織の情報に狙い・従来の外壁防護を無効化

標的型攻撃のイメージ

従来の外壁防護（ファイアウォール等）

標的型攻撃から守るべき重点業

務等を特定し、関係する情報シス

テムについて、内部侵入を早期発

見し、活動を困難化するための対

策を計画的に講ずる。

情報システムの構築等の外部

委託の際、委託先における不正

機能の混入防止のため、厳正

な管理を要求。

ただし、緊急やむを得ない事情により、障害・事故等に対応する責任者に報告

することができない場合は、定められた報告手順に従って、最高情報セキュリ

ティ責任者に報告すること。

定義や用語の明瞭化・簡潔化、冗長表現の排除、名宛人

毎の遵守事項の集約化、形骸化した規定の見直し等によ

り、分かりやすく、守られやすい基準作りを目指す。


8

脅威の概要

特定の組織を狙って職員等になりすましたメールを送付し、添付ファイルやURLを開かせることによって不正プログラムに感染させる。

不正プログラムを遠隔操作して内部侵入を繰り返し、重要情報の窃取・破壊等を実施。

不審なメールを検出する仕組みの整備、対応能力を向上する（SPFの検証、教育・訓練、等）。

感染防止を目的とした入口対策のほか、遠隔操作による攻撃の早期検知等を目的とした内部対策を実施する。

主な対策

標的型メール攻撃のイメージ

＜最近の事例＞• 2012年11月一部の独立行政法人が「なりすましメール」による不

正プログラムに感染し、情報漏えいした可能性があることが判明

＜統一基準群（平成26年度版）における対策事項＞• 6.2.4項標的型攻撃対策• 6.2.1項ソフトウェアに関する脆弱性対策• 7.2.1項電子メール等

対策の概要(例)

外部との不正通信を検知


秘秘秘

内部に侵入した攻撃を検知

拡大の困難度を上げる(重要サーバと一般端末をセグメント分離等）


秘秘秘

①職員等になりすましてメールを送付

③不正プログラムを遠隔操作して重要情報を摂取

不審メールの検出

②添付ファイルを開くことで不正プログラムに感染

（参考）標的型メール攻撃の概要と対策


9

脅威の概要

標的組織がよく閲覧するWebサイトを改ざんし、閲覧した端末を不正プログラムに感染させる。

ブラウザの未知の脆弱性を悪用した攻撃（ゼロデイ攻撃）の場合もあり、未然防止は困難。

不正プログラムを遠隔操作して内部侵入を繰り返し、重要情報の窃取・破壊等を実施。

感染の未然防止は困難であるため、組織内部へ侵入されることを前提に内部対策を実施。

内部対策としては、以下が挙げられる。• 内部に侵入した攻撃を早期検知して対処• 侵入範囲の拡大の困難度を上げる• 外部との不正通信を検知して対処

主な対策

水飲み場型攻撃（イメージ）

対策の概要(例)

＜最近の事例＞• 2013年８月～9月中央省庁や大手企業の少なくとも20機関を

狙った標的型サイバー攻撃（標的組織のIPアドレスからのサイト閲覧者だけが感染するもの）が発生

＜統一基準群（平成26年度版）における対策事項＞• 6.2.4項標的型攻撃対策等


水飲み場に集まる動物を狙うかのような攻撃

外部との不正通信を検知


秘秘秘

内部に侵入した攻撃を検知

標的以外の組織が閲覧しても攻撃が行われない場合もあるため、発見されづらい傾向にある。

拡大の困難度を上げる(重要サーバと一般端末をセグメント分離等）

標的組織がよく閲覧するサイト攻撃者が

改ざんして不正ﾌﾟﾛｸﾞﾗﾑを仕掛ける

（参考）水飲み場型攻撃の概要と対策


（参考）政府機関における情報及び情報システムの重要度等に応じた対策の重点化：リスク評価等の手法の枠組み構築など

○ 標的型攻撃等の脅威の顕在化やスマートフォン及びクラウド技術の普及等に対応して、各府省庁が達成目標や実施計画を策定し、PDCAサイクルの適正性やガバナンス機能の有効性を確認するための枠組みの構築等に係る「政府機関統一基準群」を改定。

○ 以上においては、各府省庁の最高情報セキュリティ責任者（CISO）の指揮の下、機微な取扱いが必要な情報を扱う業務等を特定してリスク評価を行い、標的型攻撃等から重要な情報資産を守るために必要な情報セキュリティ対策をメリハリをもって計画的・重点的に実施するための枠組みを構築。

リスク評価等の手法及び標的型攻撃等の対策［注］について、産官学の専門家による検討会（委員長：佐々木良一東京電機大学

教授／内閣官房情報セキュリティ補佐官）を開催。ガイドラインを策定。

［注］情報システム内部への侵入等の攻撃シナリオとそれに対応する一連の情報システムの設計、監視強化等の対策セット

【リスク評価等に基づく最高情報セキュリティ責任者による情報セキュリティガバナンスの概要】


サイバー

我が国に対するサイバー攻撃がより複雑・巧妙化しつつある状況を踏まえ、複数の政府機関を同時に狙うサイバー攻撃が発生した際の対処について、内閣官房情報セキュリティセンター（NISC）と各府省庁及び重要インフラ事業者等との間の情報収集・共有訓練、並びにCYMAT要員による緊急対処訓練を組み合わせて実施し、関係者間の連携習熟を行った。実施日時平成26年３月18日（火）13時00分～17時00分

実施場所内閣府別館９階会議室、各府省庁

訓練対象者各府省庁の担当者（NISC窓口及びCSIRT（インシデント対応チーム）） CYMAT(ｻｲﾏｯﾄ)要員（省庁横断的にインシデント対応を支援するチーム） NISC職員、重要インフラ事業者等における情報共有窓口等当日の様子

（参考）全府省庁等の参加による大規模な政府サイバー攻撃対処訓練【３・１８訓練】の実施結果について

菅官房長官訓示 CYMATによる緊急対処訓練訓練全景情報収集・共有訓練

サイバー


9 （参考）

重要インフラの情報セキュリティ対策に係る第３次行動計画

＜出典：第３５回重要インフラ専門委員会資料（2014年1月10日）＞


（参考）

「重要インフラの情報セキュリティ対策に係る第３次行動計画」の概要について

これまでの取組み重要インフラの情報セキュリティ対策に係る第２次行動計画

１．安全基準等の整備及び浸透

２．情報共有体制の強化

３．共通脅威分析

４．分野横断的演習等

主な施策

社会・技術面での環境変化を踏まえた改善・補強が必要な箇所が存在

１．重要インフラ事業者等のＰＤＣＡサイクルとの整合に基づく指針の見直し

２．大規模ＩＴ障害発生時の対応体制の明確化

３．演習・訓練に係る関係主体の連携の在り方の模索

４．環境変化・脅威に適切に対応するための取組

５．広報公聴、国際連携の強化に追加すべき基盤強化に資する取組等

主な課題

１．安全基準等の整備及び浸透対策途上や中小規模の重要インフラ事業者等への情報セキュリティ対策の「成長モデル」の訴求

２．情報共有体制の強化平時の体制の延長線上にある大規模ＩＴ障害対応時の情報共有体制の明確化

３．障害対応体制の強化関係主体が実施する演習・訓練の全体像把握と相互連携による障害対応体制の総合的な強化

４．リスクマネジメント重要インフラ事業者等におけるリスクに対する評価を含む包括的なマネジメントの支援

５．防護基盤の強化関連国際標準・規格や参照すべき規程類の整理・活用・国際展開等

重要インフラの情報セキュリティ対策に係る第３次行動計画

重要インフラ分野を現行の10分野から13分野に拡大（化学、クレジット及び石油の各分野を追加）行動計画の要点として、「経営層に期待する在り方」等を示すとともに、PDCAサイクルに基づく事業者等の対策例とこれに関連する国の施策を一覧化客観的な評価指標の提示とこれに基づく定期的な評価・改善の実施

施策群の構成と主要なポイント

「他に代替することが著しく困難なサービスを提供する事業が形成する国民生活及び経済活動の基盤であり、その機能が停止、低下又は利用不可能な状態に陥った場合に、わが国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるもの※」との定義 ※サイバーセキュリティ戦略（平成25年6月10日情報ｾｷｭﾘﾃｨ政策会議決定）より抜粋

重要インフラ

重要インフラ防護に責任を有する政府と自主的な取組を進める重要インフラ事業者等との共通の行動計画（注）（参考）第１次行動計画（平成17年12月13日情報ｾｷｭﾘﾃｨ政策会議決定）

第２次行動計画（平成21年2月3日情報ｾｷｭﾘﾃｨ政策会議決定）

行動計画の意義

IT依存度の高まり → システム障害時の影響の広範囲化・対応の困難化複雑化・巧妙化するサイバー攻撃

環境の変化

（注）日本再興戦略-JAPAN is BACK-（平成25年6月14日閣議決定）及びサイバーセキュリティ戦略において今年度内に新たな行動計画を策定する方針を決定

第２次行動計画の基本的な骨格を維持しつつ、第２次行動計画の課題等を踏まえた修正・補強


（参考）「新・情報セキュリティ人材育成プログラム」の概要について

○実務者層のリーダー層

あ・経営戦略の視点から情報セキュリティの課題や方向性を考え、経営層と実務者層の橋渡しができる能力を育成。

情報セキュリティに係るリスクの深刻化に対応するためには、

○人材の量的不足の解消に向け積極的な取組が必要であるとともに、教育だけでは得られない突出した能力を有する人材の確保も大きな課題。

○そのためには、社会全体で育成し活用するための仕組みが必要。

さらに量的不足約8万人

サイバーセキュリティ戦略で示された課題

我が国の情報セキュリティの水準を高めるため、人材の「需要」と「供給」の好循環を形成する。

取組の方針

⇒これら人材の雇用の受け皿も不可欠

情報セキュリティ従事者約26.5万人

うち質的不足約16万人

【需要】経営層の意識改革

○組織の経営層あ・経営層の意識改革を促し、情報セキュリティを経営戦略として認識させるための取組を推進。あ・製品・サービス調達における情報セキュリティの要件化等を通じ、投資意欲を喚起して、人材の需要を創出。

【供給】人材の「量的拡大」と「質的向上」

○ＩＴ技術者等に、情報セキュリティを必須能力として位置付け、訓練・演習教材等の作成や能力評価基準・資格のあり方の検討を進める。

○高度な専門性及び突出した能力を有する人材の発掘・育成を推進するとともに、実社会での活躍を促進。

○グローバル水準の人材の育成に向け、国際的な体験や情報共有を通じて人材が研鑽を積む環境を構築。

○政府機関は自ら率先して、情報セキュリティ上のリスクに対応できる職員の採用・育成や研修・訓練等を強化。

○教育機関（初等中等教育機関含む）の実践的なＩＴ教育を充実させるとともに、情報ｾｷｭﾘﾃｨに関する教員養成を推進。

人材の量的・質的不足

１．サイバー攻撃の検知・防御能力の向上

・分散しているサイバー攻撃情報等の共有のための組織等の連携強化

・研究者等へ政府の有するサイバー攻撃の検体等の提供等を検討

２．社会システム等を防護するためのセキュリティ技術の強化

・制御システム等のセキュリティ技術の国際標準化・認証制度等を推進

３．産業活性化につながる新サービス等におけるセキュリティ研究開発

・今後発展が期待されるIT利用分野で上流工程からセキュリティ品質の組込を推進

４．情報セキュリティのコア技術の保持

・暗号等のコア技術の保持は、我が国の新規産業創出や安全保障等の観点から重要

であり維持・強化

５．国際連携による研究開発の強化

・各国が「強み」を有する技術を組合せ発展させるため、研究者受入等国際連携を推進

情報セキュリティ研究開発の推進方針

１．研究成果の社会還元の推進

２．必要な研究開発リソースの確保と柔軟性確保

３．情報セキュリティ技術と社会科学など他分野との融合

研究開発の効果・成果を高めるための方策等

サイバーセキュリティ戦略（2013年6月策定）において示された ○ サイバー攻撃の検知・防御能力の向上 ○ 制御システム、ICチップなど社会システム等を保護するためのセキュリティ技術の確立 ○ ビッグデータ（パーソナルデータ等）利活用等の新サービスのための技術開発等

を推進する観点から、「情報セキュリティ研究開発戦略」を改定

(参考)「情報セキュリティ研究開発戦略（改定版）」（H26.7.10情報セキュリティ政策会議決定）

情報セキュリティ研究開発における重要分野（※ 左記の観点を踏まえ、重要分野を整理）

（１）情報通信システム全体のセキュリティの向上サイバー攻撃の検知、認証、次世代ネットワーク等

（２）ハード・ソフトウェアセキュリティの向上

制御システム、デバイス、ソフトウェアの安全性確保等

（３）個人情報等の安全性の高い管理の実現プライバシー保護、パーソナルデータ利活用等

（４）研究開発の促進基盤の確立と理論の体系化理論体系化、調査研究、標準化、評価、暗号技術等

（５）発展分野でのセキュリティ研究開発医療健康、農業、次世代インフラ、ビッグデータ、

自動車のネットワーク接続等


○国民の情報セキュリティに関する意識を向上させるため、行事の開催や広報等の普及啓発活動を集中実施。 ○５年目となる平成25年度は、ロゴマークの活用やアニメ動画によるPR等、身近で親しみやすい取組を新たに推進。

イベントの開催

最新の情報セキュリティ脅威を踏まえた政府職員向けの勉強会を開催

月間のキックオフイベントとして、サイバーセキュリティの現状と対策等に関するシンポジウムを開催

キックオフ・シンポジウム (2/3)

ポスター、バナー

周知用素材の作成・配布トップからのメッセージ発信

月間に関するトップメッセージを発出記者会見、HPを通じ周知

ビデオメッセージ、マスメディア、電車広告、メールマガジン、Twitter、政府広報等を通じ各種情報を提供

各種媒体の活用

情報セキュリティ勉強会 (2/21)

全国ブロック別イベント

全国８ブロックにおいて各ブロックにおける基軸となる講演会等を開催

その他官民による関連行事

【主な行事】情報セキュリティに関する講習等(都道府県警察) 小中高校等を対象に、サイバー犯罪の現状、

検挙事例等を説明

e-ネット安心講座(総務省、文部科学省等) 保護者等を対象とした子供たちをネットトラブルから守るための講座

インターネット安全教室(経済産業省等) 家庭や学校におけるインターネット利用の基礎知識を学習

様々な関連行事を集中的に開催

官民連携の推進

イベントの共催、講師派遣等

月間用バナーと企業等バナーを相互のウェブサイトに掲載

アニメ動画

※ イメージ

「国民を守る情報セキュリティサイト」に、月間用ページを開設「情報セキュリティ有識者コラム」を掲載等

専用ＨＰの更新

※ イメージ ※ イメージ

17

※ 商標登録申請中

ロゴマークの活用

（参考）情報セキュリティ月間について


1

2

3

4

5

6

7

8

パソコンやスマートフォンのOSやソフトウェアは、新たにひろまるコンピュータウイルスの攻撃に対抗できるよう、頻繁に改良されています。

製造元から無料で配布される最新の改良プログラムを入手して、コンピュータウイルスの攻撃に対抗できる強い環境を手に入れましょう。

家族や友人と一緒に撮影した写真など、思い出がつまった情報は、パソコンの故障などにより失われてしまうと、取り返しがつきません。

大切な情報は、別のハードディスクなどに複製して、保管しておきましょう。

金融機関を名乗り、銀行口座番号や暗証番号、ログインIDやパスワード、クレジットカード情報の入力を促すようなメールが届いた場合、教えてはいけません。

身に覚えのないメールは返信せずに無視するなど、教えないよう注意しましょう。

ネットショッピングでは、品物だけでなく、見たい映画や聴きたい音楽も購入することができます。

ネットショッピングをするときは、詐欺などの被害に遭わないように、信頼できるお店から買うようにしましょう。身近な人からお勧めのお店を教わるのも安心です。

大切な情報を保存しているパソコン、スマートフォンなどを自宅の外に持ち出すときは、機器やファイルにパスワードを設定し、貴重品を扱うのと同様、なくしたり盗まれないように注意して持ち歩きましょう。

わたしたちの世界に風邪のウイルスがひろまっているように、コンピュータの世界にもコンピュータに悪さをするウイルスがひろまっています。

ウイルスに感染しないように、コンピュータにウイルス対策ソフトを導入しましょう。（ウイルス対策ソフトは家電量販店などで購入できます）

パソコンやスマートフォンの起動画面にパスワードを設定しておくことは、自宅に鍵をかけるのと同じように大切なことです。

パスワードは他人に知られないようにする必要があります。メモに残さざるを得ない場合、人の目に触れない場所に保管しましょう。

身に覚えのない電子メールには、コンピュータウイルスが潜んでいる可能性があります。

ウイルス感染を防ぐために、身に覚えのない電子メールに添付されたファイルを開いたり、

URL（リンク先）をクリックしたりしないようにしましょう。

9

インターネット利用に関する被害相談として、詐欺や架空請求の電子メールが届く、コンピュータウイルスにより開いているウェブページをどうしても閉じることができないというような相談が増えています。

このようなことに遭遇したら、一人で悩まず、内容に応じ各種相談窓口(背表紙参照)に相談しましょう。

オーエス

アイディー

ユーアールエル

18

（参考）2014年情報セキュリティ月間リーフレットより


背景

今後の取組方針

・若年層から高齢者までのあらゆる世代、個人・家庭・職場・公共施設などのあらゆる場面、国民1人1人の日常生活や社会経済活動等のあらゆる活動にサイバー空間が拡大・浸透。

・オリンピック・パラリンピック東京大会が開催される2020年を見据え、我が国として情報セキュリティ水準の向上が急務。

いつでも・どこでも・何でも・誰でも

○一般利用者等における認識の更なる醸成 ○地域における普及啓発活動の活性化 ○主体的な普及啓発の促進

①総合的・集中的な普及啓発施策の更なる推進 …・「情報セキュリティ月間」の期間を拡大(2月～3月18日＜サイバー訓練の日＞)し、広く国民に啓発。・期間を問わず、ロゴマークやメディア等を活用し、国民に親しみやすい取組を推進し、取組の定着化を図る。・国民1人1人が、サイバー空間の脅威から自ら身を守ることができるよう、国民運動として対策の実践や訓練等を促進。

②地域における取組の促進 …地域における各主体の活動や情報共有を促進。協議会形式の場を通じ、地域発産学官民連携による取組を全国的な動きに発展。

③特に注力が必要な層に対するきめ細やかな普及啓発活動の推進 …国民全体を対象とした活動に加え、特に注力が必要なターゲット（初等中等教育層、学ぶ機会が少ない層、関心が薄い層、中小企業含めた企業等）に対し、協議会形式の場も活用してきめ細やかな普及啓発を推進。

新・情報セキュリティ普及啓発プログラム概要(H26.7.10 情報セキュリティ政策会議決定)

産学官民の多様な主体で構成する協議会形式の場を設け、国民運動として普及啓発活動を推進していく体制を構築。

各主体が自律的に取り組める環境を整備し、国民1人1人に身近な地域との連携を推進。推進体制

主な取組

国民1人1人や企業が自ら具体的な情報セキュリティ対策を進んで実行できるよう、以下の課題への対応が必要課題

国民全体の情報セキュリティへの関心・理解度・対応力の強化・増進を図る基本的な考え方

参考

Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 19

地域的取組 ① アジア太平洋地域 ② 欧米 ③ その他の地域 ④ 多国間枠組

（参考）サイバーセキュリティ国際連携取組方針

20

基本方針 ① グローバルな共通認識の斬新的な醸成 ② グローバルコミュニティへの我が国の貢献 ③ 技術フロンティアのグローバルな拡大

重点取組分野 ① サイバー事案への動的対応の実践 ② 動的対応に備えた「基礎体力」の向上 ③ サイバーセキュリティに関する国際的なルール作り


アメリカ ●脅威認識の共有、国際規範づくり、重要インフラ防護、防衛分野のサイバー課題等に関する意見交換 ●第2回日米サイバー対話：本年4月@D.C.

EU ●重要インフラ防護や官民の情報共有等の取組の共有、意識啓発や政策動向の意見交換 ●第1回日EUｲﾝﾀｰﾈｯﾄｾｷｭﾘﾃｨﾌｫｰﾗﾑ：平成24年11月

インド ●安全保障分野での課題、サイバー犯罪への取組、重要インフラ防護、経済・社会的側面の取組に関する意見交換 ●第1回日印サイバー協議：平成24年11月

イギリス ●国際規範づくり、安全保障分野での課題、サイバー犯罪への取組、重要インフラ防護、経済・社会的側面の取組等に関する意見交換 ●第1回日英サイバー協議：平成24年6月

ASEAN ●意識啓発、人材育成、技術協力、情報共有体制の構築等での連携 ●サイバーセキュリティ協力に関する閣僚政策会議：平成２４年9月@日本 ●共同意識啓発活動の実施：平成２４年10月

ロシア ●サイバーセキュリティ等安全保障・防衛分野での協力や交流の深化

サイバー空間の国際規範づくり等に関する会議 ●サイバー空間における自由と安全保障の両立、開放性や透明性、マルチステークホルダーの重要性、サイバー空間における国際行動規範づくり，サイバー犯罪条約，キャパシティ・ビルディング、サイバー空間における従来の国際法や国家間関係を規律する伝統的規範の適用、信頼醸成措置等に関する対話。 ●60ヵ国の政府機関，国際機関，民間セクター，NGO等が参加。 ●ソウル会議：平成２４年10月＠ソウル

IWWN ●サイバー空間の脆弱性、脅威、攻撃に関する国際的取組の促進。 ●米・独・英・日等の政府機関、CERTが参加。

MERIDIAN ●重要インフラ防護等のベストプラクティスの共有や国際連携方策等に関する意見交換。 ●米・英・独・日等の重要インフラ防護担当者が参加。

リスクのグローバル化

国際戦略の策定 ●多角的なパートナシップの強化や技術の国際展開等の加速化

基本的な考え方「情報の自由な流通の確保」という基本的な考え方の下、民主主義、基本的人権の尊重及び法の支配といった価値観を共有する国や地域とのパートナーシップ関係を多角的に構築・強化。

多国間・マルチステークホルダーの取組み

21

（注）エストニア、豪州、ＥＵ、フランス、イスラエル等の間でサイバー協議立ち上げに合意。

（参考）国際的な政策対話


○日中韓サイバー協議

日本及びASEANは、2009年2月の「日・ASEAN情報セキュリティ政策会議」の立上げ以降、意

識啓発をはじめ情報セキュリティ分野の連携を強化。

ASEAN地域でのスマートフォンの急速な普及を踏まえ、日本及びASEAN10カ国で協力して、スマートフォンの情報セキュリティに関する意識啓発アニメーションを作成。2012年に作成したアニメーションに続く第２弾で、今回、はじめて、ASEAN10カ国語の字幕版を作成。

日本でも、本年２月の情報セキュリティ月間で、各国語版の本編発表に先立ち、概要版を公表。

4月25日（金）に日・ASEAN情報セキュリティ意識啓発セミナーを、内閣官房情報セキュリティセンター及び日本アセアンセンターで共催し、10カ国の大使等※にアニメーションを贈呈。セミナーには約100名が参加。

22

（参考）日・ASEAN情報セキュリティ意識啓発アニメーションの制作について

セミナーでのケントン・ヌアンタシンラオス駐日特命全権大使挨拶贈呈式の模様日・ASEAN情報セキュリティ意識啓発セミナーの模様

※ブルネイ、ラオス、マレーシアは大使、ベトナムは臨時代理大使、カンボジア、ミャンマー、フィリピン、タイは公使・次席が出席。


23

（ブルネイ）（カンボジア）（インドネシア）（ラオス）

（マレーシア）（ミャンマー）

（シンガポール）（フィリピン）（タイ）（ベトナム）

Be Aware, Secure, and VigilantInformation Security

Use Your Smartphone with Confidence

（参考）各国で翻訳した字幕付アニメーション


サイバーセキュリティ戦略（平成25年6月情報セキュリティ政策会議決定）

国家安全保障戦略（平成25年12月国家安全保障会議決定・閣議決定）

ＮＩＳＣについては、世界を率先する強靭で活力あるサイバー空間を構築するための我が国の司令塔として、機能強化を行う。具体

的には、ＧＳＯＣの抜本的な強化を図るとともに、サイバー攻撃に関するインシデントに関する情報等の集約、

サイバーセキュリティに関する国内外の動向等の実態及び政府の関連施策の現状に関する分析・周知、政府機関及び

独立行政法人等の関連専門機関等に分散している各種機能の有機的な連携による動的な対応等を強化する。その際、

国際的なインシデント対応における我が国の窓口となるＣＳＩＲＴ機能の在り方についても併せて検討する。

以上を踏まえ、ＮＩＳＣについては、専門職員の採用や育成等の人事管理による人材の確保や権限等の必要な組織体制を整備す

ることにより、２０１５年度を目途として「サイバーセキュリティセンター」（仮称）に改組するものとする。

サイバーセキュリティを脅かす不正行為からサイバー空間を守り、その自由かつ安全な利用を確保する。また、国家の

関与が疑われるものを含むサイバー攻撃から我が国の重要な社会システムを防護する。このため、国全体として、組織・

分野横断的な取組を総合的に推進し、サイバー空間の防護及びサイバー攻撃への対応能力の一層の強化を図る。

そこで、平素から、リスクアセスメントに基づくシステムの設計・構築・運用、事案の発生の把握、被害の拡大防止、原因

の分析究明、類似事案の発生防止等の分野において、官民の連携を強化する。また、セキュリティ人材層の強化、制御

システムの防護、サプライチェーンリスク問題への対応についても総合的に検討を行い、必要な措置を講ずる。

さらに、国全体としてサイバー防護・対応能力を一層強化するため、関係機関の連携強化と役割分担の明確化を図ると

ともに、サイバー事象の監査・調査、感知・分析、国際調整等の機能の向上及びこれらの任務を担う組織の強化を含む

各種施策を推進する。

かかる施策の推進に当たっては、幅広い分野における国際連携の強化が不可欠である。このため、技術・運用両面に

おける国際協力の強化のための施策を講ずる。また、関係国との情報共有の拡大を図るほか、サイバー防衛協力を推進

する。

（参考）我が国における組織体制の強化に向けた方針


サイバー脅威の高度化・深刻化 NISCの機能強化の方向性機能強化に向けた検討事項

サイバー脅威の甚大化

サイバー脅威の拡散

サイバー脅威のグローバル化

●標的型メール攻撃など機微情報や技術情報への攻撃の急増

●重要インフラへの攻撃の増加

●スマートフォンの普及等に伴うリスクの拡散

●自動車、制御系システム等へのリスクの高まり

●国境を越えたサイバー攻撃等の急増

●国家機関の関与が疑われる攻撃の顕在化

能動的な役割の強化

横串的機能の強化

情報集約・国際連携機能の強化

●NISCの知見が各府省等に活用される仕組みの構築

●東京オリンピック・パラリンピックにも備え先行的に政府の体制強化

●各府省等のセキュリティ水準の向上に向けたNISCの積極的貢献

●脅威情報等の集約・共有化の促進

●GSOCの機能の強化

●専門的人材の配備・育成（分析研究員の配置等）

●重大なインシデントに関する原因究明など事後調査機能の強化

●ＩＴセキュリティ投資に関する評価機能の強化（政府ＣＩＯと連携）

●政府機関・重要インフラのインシデント情報の集約機能の強化

●政府間連携のための人員拡充

●官民にまたがる複数の国際的窓口機能の在り方の整理 ●国際連携取組方針に基づく米、

EU、ASEAN等との連携強化

●関係省庁のセキュリティ政策間の組織・分野横断的な実効性の確保 ●関係省庁のセキュリティ政策間の総合

調整機能の強化（政府ＣＩＯと連携）

●各府省等の情報システムに関するセキュリティ監査機能の強化

（参考）NISCの機能強化に向けた検討事項等


「我が国のサイバーセキュリティ推進体制の機能強化に関する取組方針（案）」の概要

●あらゆる活動のサイバー空間への依存の高まりにより、リスクが深刻化（甚大化・拡散・グローバル化） ●「世界最高水準のIT社会」をIT利活用においても実現することが成長戦略の柱の1つ

●国際的な連携の強化が必要な諸外国においても、積極的な体制強化が実施 ●2020年東京オリンピック・パラリンピックに向けた対策の強化が必要

我が国の「サイバーセキュリティ」強化のための推進体制の機能強化が不可欠

１．機能強化の必要性

IT社会の形成を目的とし、民間の主導的役割等を基本理念とするIT基本法の基本的枠組みは今後も堅持することが適当

国家の安全保障・危機管理上、国の主導的役割を定め、マルチステークホルダーの相互連携によるサイバー空間の防護が必要

「サイバーセキュリティ」に関する施策を総合的かつ効果的に推進するための体制を整備することが必要

２．機能強化に向けた方針

IT社会の形成及びサイバー空間の防護のための関係者の役割を明確化し、それが果たされるための国の基本的施策が必要

2015年度を目途に「サイバーセキュリティ戦略本部」及び「内閣サイバーセキュリティ官（仮称）」へ強化

３．機能強化に向けた取組

IT戦略本部 NSC

情報セキュリティ政策会議 NISC

IT戦略本部 NSC サイバーセキュリティ戦略本部※

内閣サイバーセキュリティ官（仮）及び同官室（仮）

迅速・強力に補助

緊密連携緊密連携

現状：法的な根拠・権限が不明確今後：法制化を含む検討を通じ、事務・権限を明確化

・サイバーセキュリティに関する重要政策の基本方針の企画立案・総合調整等・ GSOC機能・国際窓口機能

・サイバーセキュリティ戦略案の作成（予めIT戦略本部・NSC から意見聴取）、政府機関の基準策定・監査・重大インシデントの原因究明等の評価等・行政機関からの資料等提出義務、行政機関に対する勧告権等

官民における統一的・横断的な対策の推進【IT本部長決定】基本戦略の立案その他官民における統一的、横断的な対策の推進に係る企画立案・総合調整【総理大臣決定】

内閣内閣

NISC…National Information Security Center（内閣官房情報セキュリティセンター） NSC…National Security Council（国家安全保障会議）

GSOC…Government Security Operation Coordination team （政府機関情報セキュリティ横断監視・即応調整チーム）

（※ 第186回通常国会に議員立法により提出された「サイバーセキュリティ基本法案」を参照。）

参考

Ｈ26.7.10 情報セキュリティ政策会議資料

Copyright (c) 2014 National Information Security Center (NISC). All Rights Reserved. 26

（参考）サイバーセキュリティ基本法の概要

27

（参考）サイバーセキュリティ戦略本部の機能・権限（イメージ）

28

我が国のサイバーセキュリティ政策に関する 現状と … 2014...基本戦略...

Documents

我が国のサイバーセキュリティ政策に関する現状と … 2014...基本戦略...