資料 4 サイバーセキュリティビジネスの現状と今後の取組の方向性経済産業省商務情報政策局サイバーセキュリティ課

Size: px

Start display at page:

Download "資料 4 サイバーセキュリティビジネスの現状と今後の取組の方向性経済産業省商務情報政策局サイバーセキュリティ課"

せぴあとこたに
5 years ago
Views:

1 資料 4 サイバーセキュリティビジネスの現状と今後の取組の方向性経済産業省商務情報政策局サイバーセキュリティ課

2 1.WG3( サイバーセキュリティビジネス化 ) の位置づけ 2. これまでの取組 ( セキュリティ産業のビジネス化研究会 ) 3. サイバーセキュリティビジネスの動向 ( 投影のみ ) 4. ビジネス化における課題 ( 仮説 ) と対策案 1

3 産業サイバーセキュリティ研究会 WG3 の位置づけ昨年 12 月 27 日産業サイバーセキュリティ研究会第 1 回を開催我が国の産業界がサイバーセキュリティに関して直面する課題に対応していくための WG の一つとしてサイバーセキュリティビジネス化を検討する WG3 を設置産業サイバーセキュリティ研究会政策の方向性を提示 WG1 制度技術標準化制度技術標準化を一体的に政策展開する戦略を議論 WG2 経営人材国際サイバーセキュリティ政策全体の共通基盤となる経営人材国際戦略を検討 WG3 サイバーセキュリティビジネス化セキュリティサービス品質向上と国際プレーヤー創出に係る政策を検討連携中小企業政策審議会基本問題小委員会等中小企業の生産性向上に資する IT 利活用支援策とともに検討 2

4 WG3( サイバーセキュリティビジネス化 ) の検討事項産業サイバーセキュリティ研究会で整理した政策の方向性のうち 3. サイバーセキュリティビジネスの創出支援を中心に検討 3

5 1.WG3( サイバーセキュリティビジネス化 ) の位置づけ 2. これまでの取組 ( セキュリティ産業のビジネス化研究会 ) 3. サイバーセキュリティビジネスの動向 ( 投影のみ ) 4. ビジネス化における課題 ( 仮説 ) と対策案 4

6 セキュリティ産業のビジネス化研究会の取りまとめと進捗平成 29 年 2 月 ~6 月にかけてセキュリティ産業の振興活性化を行う政策を検討するための研究会を開催当該研究会では政府調達の拡充税制の検討など需要サイドの政策的出口に関する議論が中心今回の WG では需要サイドもさることながら供給サイドにおいて何を強化してビジネス拡大を図るかについても重点的に議論を行うことを期待 < セキュリティ産業のビジネス化研究会の政策的出口 > 政府における需要喚起民間における需要喚起 1 セキュリティに配慮した政府調達の拡大 2 投資促進のための税制 3 サイバーセキュリティ経営ガイドラインの改訂 4 セキュリティサービス審査登録制度 5

7 セキュリティ産業のビジネス化研究会の政策的出口① セキュリティに配慮した政府調達の拡大政府機関等の情報セキュリティ対策のための統一基準にて参照されている IT製品の調達におけるセキュリティ要件リストを改訂し政府がセキュリティに配慮して調達する製品分野を拡充平成30年2月政府機関等の情報セキュリティ対策のための統一基準 NISC IT製品の調達におけるセキュリティ要件リスト経済産業省参照従来の製品分野(*)に加え以下の製品分野を追加暗号化USBメモリルータ/レイヤ3SW ドライブ全体暗号化システムモバイル端末管理システム VPNゲートウェイ (*)デジタル複合機ファイアウォール IDS/IPS OS DBMS ICカード 6

8 セキュリティ産業のビジネス化研究会の政策的出口 2 コネクテッドインダストリーズ税制の創設一定のサイバーセキュリティ対策が講じられたデータ連携利活用により生産性を向上させる取組についてそれに必要となるシステムやセンサーロボット等の導入に対して特別償却 30% 又は税額控除 3%( 賃上げを伴う場合は 5%) を措置事業者は当該取組内容に関する事業計画を作成し主務大臣が認定認定計画に含まれる設備に対して税制措置を適用 ( 適用期限は平成 32 年度末まで ) 計画認定の要件 1データ連携利活用の内容社外データやこれまで取得したことのないデータを社内データと連携企業の競争力における重要データをグループ企業間や事業所間で連携 2セキュリティ面必要なセキュリティ対策が講じられていることをセキュリティの専門家 ( 登録セキスペ等 ) が担保 3 生産性向上目標投資年度から一定期間において以下のいずれも達成見込みがあること労働生産性: 年平均伸率 2% 以上投資利益率: 年平均 15% 以上対象設備特別償却税額控除ソフトウェア器具備品機械装置課税の特例の内容認定された事業計画に基づいて行う設備投資について以下の措置を講じる 30% 3% ( 法人税額の 15% を限度 ) 5% ( 法人税額の 20% を限度 ) 対象設備の例データ収集機器 ( センサー等 ) データ分析により自動化するロボット工作機械データ連携分析に必要なシステム ( サーバ AI ソフトウェア等) サイバーセキュリティ対策製品等最低投資合計額 :5,000 万円計画の認定に加え平均給与等支給額の対前年度増加率 3% を満たした場合 7

9 セキュリティ産業のビジネス化研究会の政策的出口 3 サイバーセキュリティ経営ガイドラインの改訂経営者がリーダーシップを持ってセキュリティ対策を進めるよう普及対策を行うことはセキュリティ産業の需要喚起につながるこのため昨今のサイバーセキュリティの状況を踏まえてガイドラインを改訂 1. 経営者が認識すべき 3 原則 (1) 経営者はリーダーシップによってセキュリティ対策を進めることが必要 (2) ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要 (3) サイバーセキュリティリスク等について関係者との適切なコミュニケーションが必要 2. 経営者が CISO 等に指示すべき 10 の重要事項リスク管理体制の構築 ( 指示 1) 組織全体での対応方針の策定 ( 指示 2) 管理体制の構築 ( 指示 3) セキュリティ対策のための資源確保リスクの特定と対策の実装 ( 指示 4) リスクの把握と対応に関する計画策定 ( 指示 5) リスクに対応するための仕組みの構築 ( 指示 6)PDCA サイクルの実施インシデントに備えた体制構築 ( 指示 7) 緊急対応体制の整備 ( 指示 8) 被害に備えた復旧体制の整備サプライチェーンセキュリティ ( 指示 9) サプライチェーン対策及び状況把握関係者とのコミュニケーション ( 指示 10) 情報共有活動への参加 8

セキュリティ産業のビジネス化研究会の政策的出口 4 情報セキュリティサービス審査登録制度

当該基準に適合するサービスが市場にどの程度存在しているかを公表する仕組みを創設 ( 調査を IPA に依頼 (

情報セキュリティ監査サービス脆弱性診断サービスデジタルフォレンジックサービスセキュリティ監視

10 セキュリティ産業のビジネス化研究会の政策的出口 4 情報セキュリティサービス審査登録制度情報セキュリティサービスに対する一定の品質を示した基準 ( 情報セキュリティサービス基準 ) を策定し当該基準に適合するサービスが市場にどの程度存在しているかを公表する仕組みを創設 ( 調査を IPA に依頼 ( 平成 30 年 2 月 )) 情報セキュリティサービス基準調査対象となるサービス情報セキュリティ監査サービス脆弱性診断サービスデジタルフォレンジックサービスセキュリティ監視運用サービス経済産業省は IPA に以下の業務を依頼当該基準に適合するサービスの市場流通状況の調査基準に適合するサービスの台帳作成 (6 月頃 IPA にて公開予定 ) 9

11 1.WG3( サイバーセキュリティビジネス化 ) の位置づけ 2. これまでの取組 ( セキュリティ産業のビジネス化研究会 ) 3. サイバーセキュリティビジネスの動向 ( 投影のみ ) 4. ビジネス化における課題 ( 仮説 ) と対策案 10

12 1.WG3( サイバーセキュリティビジネス化 ) の位置づけ 2. これまでの取組 ( セキュリティ産業のビジネス化研究会 ) 3. サイバーセキュリティビジネスの動向 ( 投影のみ ) 4. ビジネス化における課題 ( 仮説 ) と対策案 11

13 セキュリティビジネスエコシステムのイメージセキュリティ対策のニーズとシーズのマッチングがサイバーセキュリティビジネス化の鍵ニーズの明確化具体化やシーズ発掘の仕組構築を行うことでセキュリティビジネスのエコシステムを構築しセキュリティビジネスを活性化 WG2においてセキュリティ人材の育成を検討しセキュリティビジネスのエコシステムを下支えセキュリティビジネスのシーズである尖った先進的な製品サービス埋もれた製品サービスシーズ発掘セキュリティビジネスのエコシステム ( イメージ ) ニーズに対応したセキュリティ製品サービスマーケットインサービス品質の評価の仕組み構築技術製品の実効性検証等サイバー保険との連動 IoT 投資促進税制 IT 導入補助金セキュリティ対策ニーズを抱えたマーケット ( 行政機関大企業中小企業等 ) WG1において各分野に求められる機能を考慮して必要なセキュリティニーズ等を明確化政府調達分野もセキュリティニーズ等を踏まえた活用の検討を継続ニーズの具体化協働の場コラボレーションラボの設置シーズの発掘 12

サイバーセキュリティビジネスの 2 つの観点サイバーセキュリティビジネスにおいて for Security 及び with Security の 2 つの観点で今後の戦略を検討 for Security (~ でセキュリティ ) セキュリティ製品サービスのビジネスの拡大を図る with

14 サイバーセキュリティビジネスの 2 つの観点サイバーセキュリティビジネスにおいて for Security 及び with Security の 2 つの観点で今後の戦略を検討 for Security (~ でセキュリティ ) セキュリティ製品サービスのビジネスの拡大を図る with Security (~ のセキュリティ ) IT/OT 製品システムにセキュリティの価値を加えてビジネスの拡大を図る < 例 > ウイルス対策ソフト < 例 > 自動車 EDR IDS/IPS POS 端末家電 SIEM 電力監視カメラ鉄道それぞれの観点においてビジネス戦略を立てていく必要がある 13

セキュリティ産業の将来像 (1/3) IoT 分野における新たなセキュリティ需要の拡大 Society5.

セキュリティ対策がこれまで以上に複雑化することが予想これまで十分に考えられていなかった脅威への対策をいち早く明確にし

特に日本の強みである自動車工作機械等の製造産業においてはセキュリティに十分な配慮ができていないことによって海外での活躍が妨げられ

15 セキュリティ産業の将来像 (1/3) IoT 分野における新たなセキュリティ需要の拡大 Society5.0 の実現により様々なものがつながる時代になるつながることによりこれまで想定していなかった脅威が出る等セキュリティ対策がこれまで以上に複雑化することが予想これまで十分に考えられていなかった脅威への対策をいち早く明確にしビジネスとして展開しやすい環境を整えることが重要 (IoT 分野エッジコンピュータにおけるセキュリティの需要拡大 ) 特に日本の強みである自動車工作機械等の製造産業においてはセキュリティに十分な配慮ができていないことによって海外での活躍が妨げられ日本の経済発展にも影響を及ぼす可能性 < 自動車の例 > 従来今後相互干渉の増加に伴うセキュリティ対策の複雑化車自身の安全性の観点が中心車ー車間車ー交通インフラ等ネットワークを通じた通信のセキュリティの考慮も重要 14

16 セキュリティ産業の将来像 (2/3) 機能保証が求められる制御系システムのセキュリティ対策 ( 特に検知 ) 制御システムは OS プロトコルの汎用化や他システムとの連携の広がりによりサイバー攻撃の脅威の増大が予想され制御システムにおいても早期に攻撃を検知することが重要一般的に制御システムは高い可用性が要求されるため既存の機器をセキュアな機器に入れ換える等の対応は困難可用性を損なわずに制御システムに後付けで導入できる検知製品等の需要拡大が予想されこの領域にいち早く取り組むことが重要 ( 現状日本にも強みがあると認識 ) 伸ばすべき領域運用事業者稼働年数の想定が長く機器の入れ替えは困難外部との接続が増えリスクが増大データ連係 IT システム検知製品等リモートメンテナンス制御システムデータ連係他の制御システム導入 15

セキュリティ産業の将来像 (3/3) つながる機器のセキュリティに対する検証ビジネスの重要性の増加 IoT の普及により不特定多数の機器が様々な環境に接続されることが予想不特定多数の機器が接続できる環境において悪意のある機器やセキュアでない機器が接続されることにより

17 セキュリティ産業の将来像 (3/3) つながる機器のセキュリティに対する検証ビジネスの重要性の増加 IoT の普及により不特定多数の機器が様々な環境に接続されることが予想不特定多数の機器が接続できる環境において悪意のある機器やセキュアでない機器が接続されることにより当該環境全体が危険にさらされるリスクが増大接続される機器がセキュアな状態であることを検証する仕組みの重要性が増加 ( 日本としても早期の取り組みが重要 ) IoT 機器 IoT システム機器が適切にアップデートされないリスクセキュアな起動アップデートを行う技術伸ばすべき領域不適切なアップデートプログラムの適用等 16

サイバーセキュリティのビジネス化に関する課題 ( 仮説 ) サイバーセキュリティ産業を取り巻く課題 ( 仮説 : 下記 ) を解消することによってサイバーセキュリティの新技術の創出及びビジネス拡大を期待課題 1: 製品の有効性がわからない課題 2: 何を導入しればよいかわからない

18 サイバーセキュリティのビジネス化に関する課題 ( 仮説 ) サイバーセキュリティ産業を取り巻く課題 ( 仮説 : 下記 ) を解消することによってサイバーセキュリティの新技術の創出及びビジネス拡大を期待課題 1: 製品の有効性がわからない課題 2: 何を導入しればよいかわからない国内市場課題 3: 優れた技術が制御系の中に埋没している課題 4: 海外展開方法がわからない海外市場日本発の技術の活躍日本企業の海外進出 IoT/ 制御系セキュリティ技術のビジネス展開セキュリティの基盤となる技術課題 5: 法規制等により技術の創出が難しい新技術製品の創出 17

課題 1 製品の有効性が不明確新技術製品が出てきてもエンドユーザでの導入判断が困難 ( 仮説 ) エンドユーザ

企業 ( 主にベンチャー ) のセキュリティ製品新規参入業者には高い壁となっている < 現場の声 >(

導入実績が豊富な製品は高額であることが多く導入が難しい ( ユーザ企業 ) ( 特に政府機関から )

製品の有効性検証制度製品サービスのレーティング制度解決案セキュリティ製品検証目利き製品 A 製品 B 製品

19 課題 1 製品の有効性が不明確新技術製品が出てきてもエンドユーザでの導入判断が困難 ( 仮説 ) エンドユーザ導入実績は? 品質は本当に大丈夫? 企業 ( 主にベンチャー ) のセキュリティ製品新規参入業者には高い壁となっている < 現場の声 >( 経済産業省によるヒアリング ) 導入実績がないセキュリティ製品を導入するのは不安がある ( ユーザ企業 ) 導入実績が豊富な製品は高額であることが多く導入が難しい ( ユーザ企業 ) ( 特に政府機関から ) 導入実績として紹介することを禁止されているので顧客との商談で宣伝できず困ることがある ( ベンチャー企業 ) 製品の有効性検証制度製品サービスのレーティング制度解決案セキュリティ製品検証目利き製品 A 製品 B 製品 C 評価 : 4.1 評価 : 2.1 評価 : 3.6 評価システム評価エンドユーザ有効性を検証しベンチャー等の新技術製品のマーケットインを促進エンドユーザが利用している製品サービスの評価 ( レーティング ) を実施し常に最新の評価を確認できる仕組みを構築 18

20 課題 2 何を使えばよいのかの判断が困難セキュリティガイドラインに対応するための具体的な方法が不明 ( 特に中小 )( 仮説 ) ガイドラインに準拠するには何を実施すればよいのか? 製品サービス提供ベンダー参照導入ガイドライン ( 国 ) エンドユーザ < 現場の声 >( 経済産業省によるヒアリング ) 製品サービスが多すぎで何を選べばよいかがわからない ( ユーザ企業 ) ガイドライン対応ソリューションマップの展開解決案参照対応エンドユーザソリューションマップエンドユーザに対する製品サービスの選択を支援各種ガイドライン 19

A 社の制御システム B 社の制御システム C 社の制御システム < 現場の声 >( 経済産業省によるヒアリング )

21 課題 3 制御系の中でのセキュリティ技術の埋没制御システムのセキュリティはユーザ企業毎にカスタマイズして設計実装されておりパッケージ化による販売拡大が困難 ( 仮説 ) 納品ベンダー企業納品社内セキュリティのノウハウになるので横展開禁止! A 社の制御システム B 社の制御システム C 社の制御システム < 現場の声 >( 経済産業省によるヒアリング ) 特定個社に導入した制御系セキュリティのノウハウをパッケージ化してビジネスを拡大したいが顧客から禁止されている ( ベンダー企業 ) 制御系セキュリティのパッケージ化の検討解決案 A 社の制御システムパッケージ化制御系セキュリティパッケージ企業のノウハウの流出にならないようパッケージ化できる範囲を特定 20

22 課題 4 海外展開のパッケージが不足制御系を含めた IoT の個別分野において有益な技術製品はあるものの海外等のビジネス拡大が不十分 ( 仮説 ) 海外展開のパスがなく困っているのではないか? < 現場の声 >( 経済産業省によるヒアリング ) 自社製品の海外展開を図りたいがどうやって海外展開すればよいかわからない ( ベンダー企業 ) 解決案日本が強みを持つ分野海外展開支援に向けたパッケージ化の検討セキュリティ品質日本が強みをもつ電力等インフラや自動車の分野においてセキュリティ品質を加えることで競争力を確保 21

23 優れたサイバーセキュリティ製品サービスの展開支援優れたサイバーセキュリティ製品サービスを発掘し当該技術について海外展開支援等の支援策を検討例 : 自動車セキュリティの場合 A 社機器間の VPN 通信により通信経路を保護自動車間や自動車 - 交通インフラ間の通信への活用も期待 B 社 OS の仮想化を実現低容量で実現できるため車載器での活用も期待例 : サプライチェーンセキュリティの場合委託再委託大手企業中堅企業中小企業 C 社端末が保有する情報の秘密分散を図り情報を保護安価に導入できるため中小企業での活用も期待 22

ジャミングを使った問題が問われることがある日本では法的な制約上このような技術を習得するのが難しいためアメリカやイスラエル勢に対して遅れを取ってしまう状況にある法律 : 電波法事例 3( 海外ビジネスにおける法律の課題 ): SOC サービスにおいて

24 課題 5 新技術創出に関する法的制約新技術創出やビジネス展開の妨げになるような法規制法的解釈のグレーゾーンが存在 ( 仮説 ) 事例 1( ビジネス展開における法的グレーゾーン ): セキュリティ監視サービスを提供している某社の社員がウイルス保管容疑により逮捕された本件については正当な目的の有無が論点の一つとなっており法的な解釈がグレーになっている法律 : 刑法 ( 不正指令電磁的記録に関する罪 ( ウイルス保管罪 )) 事例 2( 尖った技術の創出における課題 ): CTF( ハッカーコンテスト ) の国際大会においてジャミングを使った問題が問われることがある日本では法的な制約上このような技術を習得するのが難しいためアメリカやイスラエル勢に対して遅れを取ってしまう状況にある法律 : 電波法事例 3( 海外ビジネスにおける法律の課題 ): SOC サービスにおいて海外の企業のログを日本で解析することがあるが EU の企業のログを日本で解析した場合 GDPR の影響を受けるのかがよくわからない法律 :GDPR 解決案法律の解釈についての整理専門家 / 専門機関等と連携しセキュリティビジネスにおいて影響を受ける可能性がある法律の解釈を整理することを検討 23

自動運転など IoT を活用した新たな製品サービスに活用できるセキュリティを向上していく上で利用できる技術は?

25 WG3 の今後の進め方 ( 案 ) 新技術の発掘創出や既存の技術の展開拡充を目的として 3 つのテーマに分けテーマ毎に本 WG 委員以外の専門家も招へいして具体的な議論を実施予定テーマとしては IoT( 主に自動車 ) セキュリティ制御系セキュリティ尖った人材技術の発掘創出を想定自動運転など IoT を活用した新たな製品サービスに活用できるセキュリティを向上していく上で利用できる技術は? IoT セキュリティの専門家尖った人材技術の専門家尖った人材技術がビジネスとして成功する上で必要とする支援は? WG3 WG3 の委員制御系セキュリティの専門家現在運用している制御系セキュリティをパッケージ化して海外展開を図ることはできないか? 24

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来しそれらに対するサイバーセキュリティの確保は安心安全な国民生活や社会経済活動確保の観点から極めて重要な課題

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来しそれらに対するサイバーセキュリティの確保は安心安全な国民生活や社会経済活動確保の観点から極めて重要な課題となっている特に IoT 機器についてはその性質からサイバー攻撃の対象になりやすく我が国において

資料 4 サイバーセキュリティビジネスの現状と 今後の取組の方向性 経済産業省 商務情報政策局 サイバーセキュリティ課

資料 4 サイバーセキュリティビジネスの現状と今後の取組の方向性経済産業省商務情報政策局サイバーセキュリティ課