日時：平成23年7月1日（金曜日）16時～17時30分
場所：経済産業省本館17階西3　国際会議室

村井純委員長、山口英委員長代理、有村浩一委員、鵜飼裕司委員、内田仁史委員、遠藤直樹委員、小林和真委員、小屋晋吾委員、塩崎哲夫委員、新誠一委員、高倉弘喜委員、高橋郁夫委員、高橋正和委員、西本逸郎委員、藤井俊郎委員、松本勉委員

中間とりまとめ（案） ～自律的で弾力的かつ頑強な情報セキュリティ政策～ について

冒頭、村井委員長より挨拶が述べられた。続いて、事務局より中間とりまとめ（案）についての説明が行われた。

これらを受けた自由討議の概要は以下のとおり。

• 我が国がこれから発展するためには外貨を稼がないといけないわけで、そのためには海外のマーケットで頑張る必要がある。
• 制御システムのセキュリティは、セキュリティ基準の国際相互承認というプロセスに対してより強くフォーカスを置いて政策を推進していく必要がある。
• 標的型サイバー攻撃以外にも、今後、いろいろな形で高度な攻撃が出てきたときに、どうやって短期間に防御力を高めていくか、それを社会にどう転換していくかを考えていかなければならない。
• それぞれのベンダーや企業においては標的型攻撃の全貌が見えにくいが、いろいろな方が集まると必ず情報が増えるので、それを拡張して使用することができる。例えば、標的型攻撃にさらされた企業がその後何をどう改善してどのように対応しているのかは、ユーザー企業でないとわからないが、SoCベンダーなどの他の企業にも参考になるはず。
• 標的型攻撃について、ここで主題としているのは、企業向けの情報資産を略取するような攻撃であり、何か個別の名前があったほうがもう少し市場受けするのではないか。
• 「情報セキュリティ人材」というものがどういう人のことなのか、もう少しわかりやすくした方がよいのではないか。
• 制御システムについては、新しい技術が今後いろいろと出てくる中、システムもだんだん変わっていく。そういった変化に対応できるような取組みにしていくべきではないか。
• 標的型攻撃について、例えばAPTに対して日本がどういったフレームワークでいくのか、といった方向性のようなものが工程表の中に入るべきではないか。
• 標的型攻撃については、情報共有から分析、収集・加工して予測するといった考え方に少しフォーカスするとよいのではないか。
• 何か問題が起きた際、それに対するレスポンスや対応の仕方はそれぞれの国の商文化や物の考え方により異なるため、それに柔軟に対応できるように日本企業も変わっていかなければいけない。この関係で、標的型攻撃が起こったとき、何が起こったのかをすぐにいえないような体制は非常にまずい。曖昧な情報や不確かな情報があるかもしれないが、今ここまではわかっていますとすぐにいえる体制を構築していかなければいけないのではないか。
• 今後のサイバー攻撃を考えると、100％全部防げるということは考えにくい。あらかじめ発生することを前提とした事後対策を想定していないため、発生したときに正しいデシジョンができないという事例が散見される。インシデントの共有のみならず、インシデントに対して各社が対応できるような形で取り組んでいかなければいけない。
• 制御システムは10年、20年使い続けるケースが非常に多く、今は想定できないようなことが10年後、20年後にはたくさん起こってくると思われる。そのような中で、制御システムの評価にかかる個社の取組みが単独ではなく、それぞれ関連しながら全体的にPDCAサイクルが回るような仕組みで進めていただきたい。
• 標的型サイバー攻撃の対策については、個々で対応するよりもセキュアなクラウドサービスを選べば、今までよりも安全に運用することができるような選択肢も出てきている。
• クラウド特有の技術に特化した監査というのはまだ余り語られていないので、そのような特有の技術に応じた診断手法といったものの開発が必要ではないか。
• クラウドサービスにみられるような技術の進歩や新しい脅威の登場、一方では海外の子会社のマネジメントの問題があり、リスクの明確化ができない。リスクをとりながら前に進むためには、安心してリスクをとれる仕組みをつくらなければならない。
• 新しい脅威が出てきたときにどう対応するかを考えるうえで、標的型サイバー攻撃を1つのターゲットとして、この研究会で議論できたことはとても大事ではないかと思う。
  また、グローバル社会の中での日本の位置づけを考えると、経済が世界で大きな貢献をする中で、日本のセキュリティ政策であるとか、日本の企業がセキュリティに対して官民学一体となってどういった取組みを行っているのか、そのような観点からセキュリティと経済の結びつきを議論できたことも大変重要なことである。
• 情報基盤、情報セキュリティ、サイバーセキュリティ、といったことがどんどん話題となり、それに対するメッセージを各国が出してきている状況。日本からもこうして議論した内容をきちんと日本のプレゼンテーションとして出していくが大事。そして、議論された内容が国際社会の中で貢献していけるように、国際社会での展開やメッセージ性等も含めて今後の政策に反映していただきたい。
• 本日の議論を踏まえると、副題は「自律的で弾力的かつ頑強な情報セキュリティを実現する政策」でよろしいのではないか。件についてはパブコメにかけ、皆様の意見を反映する件については委員長にご一任をいただいて進めさせていただきたいがよろしいか。（「異議なし」の声あり）
• （局長）活発な議論をいただき感謝申し上げる。5月末のG8の場においては、首脳会議の首脳宣言で、サイバーセキュリティ向上に各国取り組むといったことが明記されている。日米インターネットエコノミー政策対話やOECDのインターネットエコノミー・ハイレベル会合においても、本研究会の取組みやここでの議論を踏まえた今後の方向性について発信させていただいている。各国ともサイバーセキュリティの問題については大変関心が強く、各国とも同じような問題を抱えている状況の中でお互いの政策についても非常に関心が高いため、それなりの手応えがあった。
  引き続き、本日まとまった議論を踏まえて、どう発信し、各国との連携や協力を行っていくかというステップへ進めていきたい。
  制御システムの議論の中でPDCAサイクルを回すという話もあったが、また時を改めて皆様にご報告しながら、またご意見をちょうだいできればと考えている。
• （事務局）パブリックコメントを踏まえ、最終的な報告がまとまった段階で委員の皆様に速やかにご連絡させていただき、同時に当省ホームページに公開することとしたい。

経済産業省商務情報政策局情報セキュリティ政策室
電話：03-3501-1253
FAX：03-3501-6639

• サイバーセキュリティと経済　研究会