経済産業省
文字サイズ変更

サイバーセキュリティと経済 研究会(第5回)‐議事要旨

日時:平成23年5月27日(金曜日)10時~12時
場所:経済産業省本館17階西7第1特別会議室

出席者

村井純委員長、有村浩一委員、鵜飼裕司委員代理(金居氏)、内田仁史委員、遠藤直樹委員、小屋晋吾委員、新誠一委員、高橋正和委員、中尾康二委員、西本逸郎委員、藤井俊郎委員、松本勉委員代理(吉岡氏)、武智洋特別委員、下村正洋特別委員

議題

  1. 標的型サイバー攻撃への対応について
  2. 情報セキュリティ人材の育成等について
  3. その他

議事概要

冒頭、村井委員長より挨拶が述べられた。続いて、標的型サイバー攻撃への対応(資料3)について事務局、標的型攻撃へのISOG-Jの取り組み(資料4)について武智特別委員、情報セキュリティ人材の育成(資料5)について事務局からプレゼンテーションが行われた。

これらを受けた自由討議の概要は以下のとおり。

  • 政府機関への標的型攻撃について、ぜひ公開していただきたい。
  • 標的型攻撃は目的であって、手段ではない。標的型攻撃への対策とウイルス対策は異なるという情報発信が必要。
  • SOC事業者は標的型攻撃を防ぐのが目的であって、実際に起きていることを細かく調査して再発に努めるという部分になかなかモチベーションが働きにくい。何らかの後押しがあるといいのではないか。
  • 標的型攻撃を情報公開すると、攻撃を誘発する効果もある。他方、同じ悩みを持つ人とクローズドの中で共有するというのは、攻撃傾向と対策を知ることができるので、有効だと思う。
  • 標的型攻撃の情報公開は、どこまでの攻撃が検知できているのか手の内を明かしてしまう面がある。クローズドの中での情報共有は必要だと思うが、公開によって何をしたいのかをもっと精査する必要がある。他方、事務作業にすると情報が役に立たなくなる側面もあるので、コミュニティを作らないとうまくいかない。
  • 標的型攻撃への対処について、攻撃に成功した事例を集めるための方法も必要ではないか。
  • 人材育成の前に、そもそもITをもっと活発化すべき。
  • 標的型攻撃の情報共有については、どのくらいまで匿名処理をして情報を出すのか、どういうスキームでやるのか等を詰める必要があり、まずは政府機関が先陣を切って取組みを進めていただきたい。
  • 標的型攻撃に情報共有は非常に有効であるものの、ユーザー企業と情報共有を許容する契約を結び直す必要がある。また、提供した情報によってユーザー企業が特定され、株価が下がってしまうようなこともあるため、企業は相当な決断をもって情報提供をすることになる。後押しする施策がないとなかなかうまくスキームが回らないのではないか。
  • 情報セキュリティ人材にも、産業界でセキュリティを推進する人、企業の中で守る人等いろいろな人材がいるため、それを全部一色単に一つの俎上で議論するのは難しい。
  • 高等教育から見直しが必要とあるが、もう少し幼少のときから是非教育するべき。
  • 標的型サイバー攻撃が一般企業でどれほど認知されているのか非常に疑問であり、実際に被害が出ているという事実を特に中小企業も含めた形で広めるべきではないか。
  • クラウドにおいては、今後セキュリティ教育が二極化すると思われる。一つは限りなく専門的で高度な知識を持ったエンジニア、もう一つは、組織的、人的安全管理といった知識をもった人材が必要となるのではないか。
  • 身の回りのリスクに関する教育が従来余りなかったのではないか。リスク教育というものをもう少し考えるべきではないか。
  • 技術基準があれば、ユーザー側は「この辺までやっているから大丈夫です」というような言い方ができるが、他方、技術基準が経年変化を起こしてくる、また、技術基準を公開することで攻撃プランが立てられるといった懸念もある。
  • 情報を出すことによるユーザーの経営へのインパクトがみえない中で、どう出していくのかという判断は非常に難しい。攻撃手法や被害の詳細などの情報は担保がないと厳しい。また、情報を出した側のメリットを明確にしていく必要性がある。
  • 内部の人間の裏切りが一番ソーシャルエンジニアリングでは効果的。情報システムの中にウイルスがあることを前提として、それを検知したり除去したり免疫力をいかに高めていくかが、標的型で考えなければならないことではないか。
  • 高度な教育を受けた学生が真に社会のためになるようなモチベーション、または仕組みみたいなものが担保されていないと、非常に危険性がある。
  • セキュリティ人材の強化のために、制御系、ITシステム、経営層と3つの枠があるが、システム系全体をマネジメントするスキルを持った人材を育成する枠も入れるべきではないか。
  • 新たな技術開発をするためのアーキテクチャー開発が必要。
  • 第1の被害者にならない予防的措置と、第2、第3の被害者が出ないようにする対策だけでなく、第1の被害者になった当事者を死なせずに健康な体に戻す対策も必要。
  • 企業にもいろいろなモチベーションがあるので、出してもいいと思えるようなメリットを少し後ろ支えするような価値観や社会的仕組みをトータルで考えた方がいいのではないか。
  • 人材育成について、ICT教育推進協議会とJNSAとで検討チームを作ることは有効。他方、検討チームの検討内容が画餅にならないような方策も検討したい。
  • 標的型攻撃と標的攻撃を明確に分けたほうがよい。
  • セキュリティはマネジメント上だけでなく、企業理念もしくは企業存続というところでもどうしても必要であるというところにもう一度フォーカスしてもいいのではないか。
  • 原因を共有するだけでなく、その治療法が一緒に共有できるということであれば、情報提供する側にモチベーションが生じる。
  • 公益性ということも大変重要であり、日本あるいはグローバル情報社会に貢献するためにも、官民の役割を明確にし、共有のメカニズムを続けていくことが重要ではないか。
  • リスクの共有は大事であるが、情報セキュリティに関するリスクの定量化はできていないのではないか。
  • リスクの定量化ができているから保険ができて、保険ができているからリスクをとって安心して経済活動を行えるという社会システムであるから、リスクの定量化は必要である。
  • 2012年から数学から情報が抜け、2013年から情報関係の必修2科目が入る。共通一次に入ってないので、受験産業、参考書会社は動かず、高校の先生ももちろん動けない。つまり、この問題を解決できない限り情報を学ぶ高校生は育たない。
  • 人材については、マネジメント・オブ・インフォメーション・サイエンスといった学位をつくり、その学位を持っている人を企業は雇っていただく、というようにこれぐらい具体性をもったことをやらないといけないのではないか。
  • 本日取りまとめられた標的型サイバー攻撃への対策については、多重防護の対策や共有の枠組みは大変重要で、進めていただきたい。また、事故前提のセキュリティマネジメントはとても大事。
  • 人材育成についても、政策の方向性は一致が見られたので推進していただきたい。
  • (事務局)これまで審議いただいた内容は、委員長が取りまとめたように、情報セキュリティの脅威への対応、また標的型のサイバー攻撃の対策として有効であると考えられるため、本日午後、標的型サイバー攻撃への対策として提示し、これまでに取り組まれている情報セキュリティ対策の徹底を特に企業の経営者に呼びかけたい。

また、次回以降は委員の方々のご理解、ご了解をいただいた内容をとりまとめる作業に入らせていただく。

問い合わせ先

経済産業省商務情報政策局情報セキュリティ政策室
電話:03-3501-1253
FAX:03-3501-6639

関連リンク

 
 
最終更新日:2011年6月16日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.