経済産業省
文字サイズ変更

サイバーセキュリティと経済 研究会 フォローアップ会合‐議事要旨

日時:平成24年8月31日(金曜日)16時30分~18時
場所:経済産業省本館17階西3 国際会議室

出席者

村井純委員長、山口英委員長代理、鵜飼裕司委員、内田仁史委員、小屋晋吾委員、塩崎哲夫委員、新誠一委員、高倉弘喜委員、高橋郁夫委員、中尾委員(代理 武笠氏)、西本逸郎委員、藤井俊郎委員、松本勉委員

議題

サイバーセキュリティと経済 研究会報告書 中間とりまとめ ~自律的で弾力的かつ頑強な情報セキュリティ政策~  フォローアップについて

議事概要

冒頭、商務情報政策局長、続いて村井委員長より挨拶が述べられた。続いて、事務局より配布資料についての説明が行われた。

これらを受けた自由討議の概要は以下のとおり。

  • 政策の見直しと点検を行う際には、次の3つの観点から考える必要がある。1つ目は新しい技術や環境に対応していく速度の問題、2つ目はカバレッジをどれだけ広げていくかという問題、3つ目は全体の質をどう向上させていくか、という点。特に、どこの国でも問題なのが質の向上であり、解決策としては法律による規制等のハードフレームやガイドラインの策定等のソフトフレームを利用するやり方がある。
  • 議論になるポイントをいくつかコメントさせていただく。まずは、不正プログラムを解析する技術。解析した結果から具体的な対策につながるため、重要である。また、人材関係では、人材を増やすというよりは、多様化していかなければいけない。セキュリティキャンプ等学生の人材育成を行っているが、そうした人材に対する企業側や官側等の受け入れ、産官学を含めた形でのキャリアパスを模索してほしい。
  • 4つの点に注目すべき。1つ目はサイバー攻撃の主体に関する分析。今まで認識されていなかった国家支援による攻撃主体が表にでてきたという点が論点になりうる。2つ目は分析した情報の共有について。NDAのようなレベルで本当に対応できるのか、逆に、情報を出したとしても責任を問われないようなインセンティブを与える形での制度設計が可能かどうかという点がある。この点はアメリカのクリアランス制度を調査してみるとよい。

3つ目は国家の安全保障という観点からのサイバー空間における国際的議論についてウォッチしておくとよいということ。4つ目は人材育成で、大学のカリキュラムにCIAなどのセキュリティの基本理念から教えるといったことが必要ではないかと思う。

  • 日本は最近になってようやくホワイトハッカーを育てなければいけないという動きが見られるようになったが、海外を見るとホワイトハッカーのカルチャーが既にとても根付いているという印象を受ける。自然発生的にいろいろなコミュニティーができて、勉強会やカンファレンス、CTFなどが自発的に開かれたりしている。

ホワイトハッキングのカルチャーの芽が出てきたときに、政府がうまく見守ってあげられるようなスキームが作れないかと思う。

  • 情報セキュリティの問題はイタチごっこで、攻撃側も守る側も非常に複雑な技術、手法を使うようになっている。また、そうした複雑さから、一般の方々にあまり理解されていないという印象が強い。特に制御系のセキュリティについては、非常に無関心か非常にパニックに陥るかのどちらか。今後国民の方々に正しく理解していただくための活動が必要。
  • フォローアップということで、どこまでやってどこまでやっていないということを明確したのはよいこと。普及啓発の部分は、どのくらいの効果を上げているのかという効果測定があってもいいのではないかと思う。また、企業は標的型サイバー攻撃を受けた後の対応に苦慮している。例えば情報をどこまで外に公開すべきか、社員にどこまで明らかにすべきかなど。そういった意味で、脅威の共有だけでなく、どういった対策をしたのかという情報の共有も含めて行われると、さらによい結果を生むものと思われる。人材育成に関しては、セキュリティ技術者の所得税減免や、そういった技術者を一定数雇わなければいけないといった、一歩踏み込んだ施策も考えられるのではないか。
  • セキュリティの解析力を持った人材を育てていかないといけない。そのためには、いろいろな機器等を想定した自由に攻撃して構わないシステムを構築して、そこで自由に徹底的に攻撃してみるということが重要。そうした環境を組織的に構築できるようなインフラ整備ができるとよいのではないか。
  • 人材育成について、全体のバランスを見ながら指示を飛ばすような、全体を俯瞰できるマネージャーに近いエンジニアがまだ育ってきていない。また、大学の話でいうと、具体的なインシデントの情報があまり出てこないため、時代遅れの情報に基づいた論文になりがち。産から学にこういう研究がして欲しいというアピールをもってしていただき、学がそれに応えるようなかたちで連携できるとよい。
  • 脅威の分析は従来から行われているが、今後はもう少し踏み込んで、どうやったら攻撃を減らせるか、牽制できるかということを含め、企業の負担を下げられるような研究開発があってもいいのではないかと思う。人材関係でいうと、大学のせめて情報系や電子系のカリキュラムにおいては、セキュリティ関係をもう少し増やして欲しい。
  • いずれクラウドサービスはハッキングの対象になりやすくなる。それでいてクラウドは1回のセキュリティチェックに非常にコストがかかるため、クラウドサービスベンダーが専門会社から脆弱性チェックを受けやすい環境を整備することができないかと考えている。
  • 米国では、重要インフラに対するセキュリティ強化の法案がいろいろと議論されており、また、韓国ではクラウドに対する法規制のような話しが出ているので、ウォッチしておいた方がよい。サイバーレンジのような演習環境を構築するのは非常によい取組。米国の協力を得つつということだと思うが、米国の国家防衛とかなり関係してくるので、技術をどう得るかは政府の役割が重要になってくる。国家防衛としての、また経済基盤の強化としてのサイバーレンジは、目的は違えど技術的にはかなり似ており、どこまで情報共有して進めていくのかは国家的な戦略が必要。
  • 昨年11月、コスト削減を目的として、オバマ大統領が政府調達のコンピュータをやめて自分のデバイスを使うようにと発言したことがあった。米国政府のレポートを見ると、BYODにより業務効率が上がり、緊急時にも対応ができて、家にいても働けるという、こんないいことはないというレポートになっている。ところが、セキュリティの面からいうと問題もあり、日本ではコンピュータを持ち帰らせない傾向があるが、BYODの傾向は日本の行政業務などにもあり得るのか。日本のセキュリティプロテクションモデルは変わるのか、このあたりはどうなのか。
  • 民間ではBYOD圧力が強く、社員側は使いたい人の方が多いので、企業側はどのようにガバナンスを効かすかに苦慮している。自治体も民間もBYODには非常に目が向いているが、ある意味脅威も存在しているので、いろいろ検討をしているところ。プロダクトもあるが、運用が非常に難しいという問題もある。
  • 米国では、テレワーキングが非常に多く、例えば家庭のパソコンをシンクライントとして使うことで、情報の管理を行っている。我が国でもそこまで議論が進めばBYODを使った仕事の仕方がでてくるのではないか。
  • BYODの話は、ワークフローをオウン・デバイスやリモートアクセスでの対応といった仕組みにきちんと変えていきつつ、それをサポートするデバイスのテクノロジーや秘密の保護といった話が出てくる。日本政府での導入を考えれば、まずはBYODをやる前にテレワークや在宅勤務という仕掛けをどう導入していくのか、というのがポイントになるのではないか。
  • 確かに米国のレポートを見ると、そもそもワークフローが情報システムを使うことが前提になっているため、作業効率が上がっているものと思われる。つまり、ワークフローのデザインができているということ。
  • 企業側の動向をみると、スマートフォン等については、BYODといっても使い方とつなぎ方があり、BYODのイメージが人によって異なるため、そこの整理が必要。また、企業側はガチガチの運用をしようとするが、逆に、スマホ側にセキュアなアプリを乗せて、オフィス業務をそちらにもっていくという流れの圧力の方が非常に強い。そうなると、従来の境界型のセキュリティは崩壊するため、発想の転換が重要。
  • ・国際の問題は大きな2つの流れの中で考えるべき。1つは、各国個別の制度が安全保障や犯罪対策という言葉の中で意味づけて、分離していっている。例えば中国、ロシア、UAE、ドバイなど。一方、情報の自由な流通と企業活動の最大化をどうやってインフラが守っていくかという考え方があるが、これは日本や米国の立場だが、ドバイの湾の反対側にあるカタールでもそうした立場からの取組を進めている。日本について考えると、海外に企業が出て行く際、セキュリティがインフラを守っていくための技術が確立され、そのインフラで自由な経済活動を支えていくというところに焦点を当てて、海外との関係を作っていくことが大切。
  • 米国では電力系のグリッドが入っていて、サイバー攻撃の脅威が増してきている。我が国でも今後スマートグリッドが導入されてくると、当然同じようなリスク要因が出てくるはずであり、前もってリスク分析と対策を講じるための研究を進めるべき。また、我が国は要素技術を持っているものの、それをうまく組み上げていくノウハウと、どう使いこなすかというオペレーションのノウハウを持っていないので、そこを改善する施策を進めていただきたい。
  • 制御システムセキュリティセンターでは、重要インフラのセキュリティ確保だけでなく、製品の信頼性を上げることで商品価値を上げ、産業活性化につなげるという使命も持っている。セキュリティを向上させて経済を活性化するという方向性は重要。
  • 全体的な話として、各取組に関する定量的な目標を何とかつくれないか。厳密な数値にならないのかもしれないが、ある程度のメトリックづくりの目標設定はできると思う。また、人材の話では、リスクマネジメントの中で有効に働く人材の評価みたいなものが社会の中にあると、セキュリティ人材の育成につながる、インセンティブになるのではないか。
  • 韓国では、昨年4月に農協に対する大規模な標的型攻撃があり、それを踏まえた国家戦略を策定している。その中で、金融機関では人材の5%はIT人材、そのうち5%はセキュリティ人材、予算は7%がセキュリティ関連でなければならないという政策をとっている。
  • 技術のある人を認定して評価するとともに、その人が万が一道を踏み外した場合は、それ相応の罰則を課すといった、ホワイトハッカーがブラックにならないような表裏の施策を行っていく必要がある。
  • 韓国ではITフィズでやっているような枠組みを始めていて、よりすぐりの人材はさらに特訓コースに入らせるといった大学のカリキュラムが始まっている。また、サイバーを専門とする特別コースが設置されたりしている。
  • 韓国の例は、極端な振り方をして人材を輩出したり、極端な環境を前提としたやり方で人材育成を行うといった傾向がある。日本ではもう少しモデレートされたやり方を考えないといけない。
  • 一方で、セキュリティ人材を雇わなければいけないという話しになってきたときには、要はどこで需給をサティスファイさせるかは、どうしても機能しなければいけないとは思う。
  • 人材の部分については、洗練されたアプローチが必要。

お問合せ先

商務情報政策局 情報セキュリティ政策室
電話:03-3501-1253
FAX:03-3501-6639

関連リンク

 
 
最終更新日:2012年12月10日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.