頼れる IT 社会の安全安心を目指して ~IPA の取り組み ~ 独立行政法人 理事長 富田達夫
自己紹介 富田達夫 独立行政法人情報処理推進機構 理事長 富士通株式会社代表取締役副社長株式会社富士通研究所代表取締役社長 会長を経て2016 年 1 月より現職 2015 年 6 月より2017 年 6 月まで情報処理学会会長博士 ( 情報学 ) 1
本日の講演内容 1. つながる世界の新たな脅威 2. セキュリティに関する IPAの取り組み 3. IT 人材育成に関する IPAの取り組み 4. 安全に関するIPAの取り組み 5. 安全で安心なデジタル社会の実現に向けて 2
本日の講演内容 1. つながる世界の新たな脅威 2. セキュリティに関する IPAの取り組み 3. IT 人材育成に関する IPAの取り組み 4. 安全に関するIPAの取り組み 5. 安全で安心なデジタル社会の実現に向けて 3
1. つながる世界の新たな脅威 つながる世界の実現 IoT デバイス数 ガートナー予測 25 億 (2009 年 ) データ量 IDC 予測 132EB(2005 年 ) 300 億 (2020 年 ) クラウド ビッグデータ AI 4,400EB(2013 年 ) 44,000EB(2020 年 ) センサー 情報収集 フィードバック ネットワーク 組込みシステム 日々生み出されるデータ走行車 3.6TB/ 時ジェット機 20TB/ 時 膨大な数のセンサーが実世界の情報を収集 様々なものがインターネットにつながる コンピューティング能力の向上 ディープラーニング等 AIの進化 情報が新たな価値を生み出す時代の到来 ( 参照 )IPA つながる世界の開発指針 4
1. つながる世界の新たな脅威 様々な情報が活用される社会 INTERNET 土木 環境センシンク 橋梁健全性地滑り監視 運輸 自動運転 農林 林の監視農業工場 6 次産業 厚生 予防医療遠隔医療 IT 診断 金融 フィンテック電子決済 小売 在庫管理自動化リアルタイムマーケティンク 製造 第 4 次産業革命 お弁当セール Convenience ソフトウェアがドライブ 新たなビジネスの創出 既存ビジネスの破壊 5
1. つながる世界の新たな脅威 新たな脅威への拡がり 社会インフラ 企業 インフラマヒ 機密情報 顧客情報機密情報 業務停止 身体や生命 財産 現金 IoT の進展による拡がる脅威 ( 参照 )IPA つながる世界の開発指針 攻撃対象の増加 被害の深化 手口の巧妙化が進む 組織が各自で専門知識を持ち防御を固めることが必要 6
IPA( 情報処理推進機構 ) のご紹介 日本の IT 国家戦略を技術面 人材面から支える経済産業省所管の独立行政法人 誰もが安心して IT のメリットを実感できる 頼れる IT 社会 を目指しています 情報セキュリティ ウイルス 不正アクセス等の届出機関 情報セキュリティの調査研究 普及啓発活動 標的型サイバー攻撃への情報共有 初動対応の実施 情報処理システムの信頼性向上 IT 人材育成 国家試験 情報処理技術者試験 の実施機関 IT 人材の育成 発掘 スキル明確のとりくみ 若手人材育成 IPA 検索 7
本日の講演内容 1. つながる世界の新たな脅威 2. セキュリティに関する IPAの取り組み 3. IT 人材育成に関する IPAの取り組み 4. 安全に関するIPAの取り組み 5. 安全で安心なデジタル社会の実現に向けて 8
2. セキュリティに関する IPA の取り組み 情報セキュリティ 10 大脅威 2017 昨年順位 1 位 個人 の 10 大脅威順位 組織 の 10 大脅威 インターネットバンキングやクレジットカード情報の不正利用 昨年順位 1 位標的型攻撃による情報流出 1 位 2 位ランサムウェアによる被害 2 位ランサムウェアによる被害 7 位 3 位 スマートフォンやスマートフォンアプリを狙った攻撃 5 位ウェブサービスへの不正ログイン 4 位 4 位ワンクリック請求等の不当請求 5 位 3 位ウェブサービスからの個人情報の窃取 3 位 サービス妨害攻撃によるサービスの停止内部不正による情報漏えいとそれに伴う業務停止 7 位ウェブサービスからの個人情報の窃取 6 位ウェブサイトの改ざん 5 位 6 位ネット上の誹謗 中傷 7 位ウェブサービスへの不正ログイン 9 位 4 位 2 位 8 位情報モラル不足に伴う犯罪の低年齢化 8 位 IoT 機器の脆弱性の顕在化 10 位 インターネット上のサービスを悪用した攻撃 9 位 ランク外 IoT 機器の不適切な管理 10 位 攻撃のビジネス化 ( アンダーグラウンドサービス ) インターネットバンキングやクレジットカード情報の不正利用 ランク外 ランク外 8 位 9
2. セキュリティに関する IPA の取り組み 世界中でランサムウェア感染拡大 世界中で感染が拡大中のランサムウェア "Wanna Cryptor " Microsoft 製品の脆弱性を悪用 2017 年 5 月 14 日 IPA 重要なセキュリティ情報 として緊急告知 2017 年 5 月 22 日感染実演デモ公開 (IPA 安心相談窓口だより ) 図 : 感染した場合に表示される画面の一例 YouTube: ランサムウェア WannaCry (WannaCryptor) 感染実演デモ 出展 IPA 安心相談窓口だより https://www.ipa.go.jp/security/anshin/mgdayori20170515.html 10
2. セキュリティに関する IPA の取り組み ランサムウェアの手口 / 影響 手口 / 影響 メールの添付ファイルやリンクからランサムウェア感染 ウェブからランサムウェアに感染 ( 脆弱性等を悪用 ) 感染したPCだけではなく 共有サーバー等別の端末にも影響 2016 年の事例 / 傾向 ランサムウェアの日本語化 被害拡大 検出されたランサムウェアの件数が2015 年の9.8 倍 その中には日本語表記のランサムウェアを確認 ランサムウェア復号ツールの登場 暗号化されたファイルを復号するツールが登場し 万が一暗号化されてもファイルを復元できる可能性 11
2. セキュリティに関する IPA の取り組み ランサムウェア対策 経営者 組織としての対応体制の確立 問題に対応できる体制 (CSIRT 等 ) 構築 予算の確保 セキュリティ対策の指示 < 対策 > 定期的なバックアップ脆弱性対策 システム管理者 PC スマートフォン利用者 情報リテラシーの向上 受信メール ( 添付ファイル リンク ) ウェブサイトの十分な確認 被害の予防 OS ソフトウェアの更新 セキュリティソフトの導入 フィルタリングツールの活用 被害を受けた後の対策 バックアップからの復旧 PC だけではなく 共有サーバーも 復元できるかの事前の確認 復元ツール 機能の活用 12
2. セキュリティに関する IPA の取り組みサイバー情報共有イニシアティブ (J-CSIP) 標的型サイバー攻撃の情報共有と早期対応の場 ~ 官民連携による サイバー攻撃に関する情報共有の取り組み ~ 13
2. セキュリティに関する IPA の取り組み 高度標的型攻撃 対策に向けたシステム設計ガイド 入口突破されても攻略されない 内部対策を施す システム管理者向け 内容 1 内容 2 内容 3 内容 4 高度標的型攻撃の全容と対策導出アプローチ 脅威の全体イメージ システム設計対策セット その他の活用場面 IPA のホームページで PDF データ提供中 https://www.ipa.go.jp/security/vuln/newattack.html 14
2. セキュリティに関する IPA の取り組み 標的型攻撃メールの例と見分け方 IPA テクニカルウォッチ 標的型攻撃メールの例と見分け方 従業員教育に メールの見分け方 注意するときの着眼点 標的型攻撃メールの例 添付ファイルの種類と解説 累計 23 万件ダウンロード https://www.ipa.go.jp/security/technicalwatch/20150109.html 15
2. セキュリティに関する IPA の取り組み 公表されないことが多い内部不正 組織の事業の根幹を脅かす事件が報道 公開事件は 氷山の一角 裁判に至らないもの 内部規定違反等も多く存在 組織内部で処理され 外部に公開されることは稀 ( 情報を公開したくない ) 会社の信用に関わる 風評被害が発生する恐れがある 関係者との調整がつかない 他の組織との情報共有が困難 自らの経験をもとに独自の対策 [Question] 内部不正が発生し 企業 組織内で解決できた場合 その詳細を外部に公開するか? 公開しない理由 被害が拡大する可能性 自組織への否定的な評判への懸念 競合他社に利用される 関係者との調整が困難など ( 出典 ) 内部不正による情報セキュリティインシデント実態調査報告書 (2016 年 3 月 ) 16
2. セキュリティに関する IPA の取り組み 内部不正防止ガイドライン 1 対策の指針 ポイントを理解リスクに対する対策立案のヒント 組織における内部不正防止ガイドライン (IPA) 2 具体的な実施策を立案製品 ソリューションの利用等を検討 JNSA* 内部不正対策ソリューションガイド ( 付録 ) 内部不正チェックシート *JNSA:(NPO) 日本ネットワークセキュリティ協会 17
2. セキュリティに関する IPA の取り組み サイバーセキュリティ経営ガイドライン 経営者が CISO に指示すべき重要 10 項目 ~ 18
本日の講演内容 1. つながる世界の新たな脅威 2. セキュリティに関する IPAの取り組み 3. IT 人材育成に関する IPAの取り組み 4. 安全に関するIPAの取り組み 5. 安全で安心なデジタル社会の実現に向けて 19
3. IT 人材育成に関する IPA の取り組み 日本の IT 人材の現状 日本全体で人材不足の傾向であるが 情報サービス業は全産業に比べても雇用人員が大幅に不足 過剰 ( プラス ) 全産業 リーマンショックの影響で 過剰気味 情報サービス業 不足 ( マイナス ) IPA IT 人材白書 2017 より 現在の IT 人材の推計約 116.9 万人 20
3. IT 人材育成に関する IPA の取り組み 量的な不足と人材の偏り 不足感が 8 割 ~9 割と 必要な人材が確保できていない IT 企業 ユーザー企業 日本では海外と比較して IT 企業に人材が集中 IPA IT 人材白書 2017 より 21
3. IT 人材育成に関する IPA の取り組み 国家試験情報処理技術者試験 基礎知識から管理能力まで 国家資格 登録セキスペ の新設 28 年度 応募者数受験者数合格者数合格率 412,757 名 290,826 名 82,549 名 28.4% 28 年 IT パスポート試験 応募者数受験者数合格者数合格率 85,214 名 76,976 名 36,557 名 47.5% 初回試験本年 4 月 22
3. IT 人材育成に関する IPA の取り組み 新国家資格 情報処理安全確保支援士 3 サイバーセキュリティに関する実践的な知識 技能を有する専門人材を育成 確保 1 人材の質の担保 情報セキュリティスペシャリスト試験 をベースとした新たな試験の合格者を登録 継続的な講習受講義務により 最新の知識 技能を維持 2 人材の見える化 資格保持者のみ資格名称を使用 登録簿の整備 登録情報の公開 ( 希望しない者を除く ) 3 人材活用の安心感 国家資格として厳格な秘密保持義務 信用失墜行為の禁止義務 支援士の活動 資格試験 2017 年春よりスタート 登録簿へ登録 ( 要申請 ) 登の公録開情報 企業における安全な情報システムの企画 設計 開発 運用を支援 サイバーセキュリティ対策の指導 助言を実施 経過措置期間限定現在登録申請受付中 資の使格用名称 第 1 回 (2017 年 4 月 1 日 ) 登録者数 :4,172 名 ( 平均年齢 40.5 歳 ) 経過措置対象者 ( 情報セキュリティスペシャリスト試験 または テクニカルエンジニア ( 情報セキュリティ ) 合格者 ) 初回試験 (2017 年 4 月 16 日実施 ) 応募者数 :25,130 名 ( 平均年齢 38.5 歳 ) 2020 年に登録者 3 万人が目標 講習受講 23
3. IT 人材育成に関する IPA の取り組み 産業サイバーセキュリティセンター 社会インフラ 産業基盤を狙ったサイバー攻撃の増加 近年は社会インフラ 産業基盤に物理的なダメージを与えるサイバー攻撃のリスクが増大 海外においては 既に 他国家等からなされるサイバー攻撃により 社会インフラ 産業基盤の安全が脅かされる事案が発生 社会インフラ 産業基盤における サイバー攻撃に対する防護力を強化することは 国家全体の喫緊の課題 原発の制御システム停止 ( 米国 2003 年 ) 製鉄所の溶鉱炉損傷 ( ドイツ 2014 年 ) 大規模停電の発生 ( ウクライナ 2015 年 ) 発電所の制御システムがウィルスに感染 制御システムが約 5 時間にわたって停止 何者かが製鉄所の制御システムに侵入し 不正操作をしたため 生産設備が損傷 マルウェアの感染により 変電所が遠隔制御された結果 数万世帯で 3 ~6 時間にわたる大停電が発生 OT( 制御技術 ) と IT( 情報技術 ) の知見を結集させた世界レベルのサイバーセキュリティ対策の中核拠点 産業サイバーセキュリティセンター を 2017 年 4 月に発足 24
3. IT 人材育成に関する IPA の取り組み 産業サイバーセキュリティセンター OT( 制御技術 ) と IT( 情報技術 ) の知見を結集させた世界最高レベルのサイバーセキュリティ対策の中核拠点を 2017 年 4 月に開設 人材育成 制御システム安全性 信頼性検証 調査 分析 25
3. IT 人材育成に関する IPA の取り組み セキュリティ キャンプ セキュリティ界の トップガン を発掘 育成する事業 平成 16 年から実施し 581 名を輩出 22 歳以下の大学 中高 高専生が対象 セキュリティを 5 日間集中的に合宿指導 講師陣は業界の第一線で活躍する技術者 中学生であった清水郁実氏 (2015 修了生 ) は DEF CON2016( アメリカで開催される世界最高峰のハッカーの祭典 ) 本戦にチームで参加し 8 位入賞 26
3. IT 人材育成に関する IPA の取り組み 未踏 新しい IT の世界を創り出す 天才 を発掘 育成する事業 平成 12 年から実施し 延べ 1,600 名超を輩出 製品化 事業化 クリエータ PM 25 歳以下の若手クリエーターが対象 産学界の著名プロマネ 8 名が個別に年間指導 優秀な開発者をスーパークリエーターに認定 産学界でトップランナーとして活躍 27
本日の講演内容 1. つながる世界の新たな脅威 2. セキュリティに関する IPAの取り組み 3. IT 人材育成に関する IPAの取り組み 4. 安全に関するIPAの取り組み 5. 安全で安心なデジタル社会の実現に向けて 28
4. セーフティに関する IPA の取り組み 安全に関する IPA の取り組み 安全安心な IoT 製品 システム開発の促進事業 重要インフラシステムのリスク分析 評価手法の普及と障害情報の共有事業 信頼性の高いシステムを実現するための体系整理 普及事業 29
本日の講演内容 1. つながる世界の新たな脅威 2. セキュリティに関する IPAの取り組み 3. IT 人材育成に関する IPAの取り組み 4. 安全に関するIPAの取り組み 5. 安全で安心なデジタル社会の実現に向けて 30
5. 安全で安心なデジタル社会の実現に向けて IoT 推進コンソーシアム IoT/ ビッグデータ / 人工知能時代に対応し 企業 業種の枠を超えて産学官で利活用を促進するため 民主導の組織として平成 27 年 10 月に設立 IoT 推進コンソーシアムの下に IoT 推進ラボ を設置 (IOT 推進ラボ ) 31
5. 安全で安心なデジタル社会の実現に向けて 地方版 IoT 推進ラボ IoT 推進ラボ の支援活動を地域にも展開 IoT ビジネスの創出を推進する地域の取組みを 地方版 IoT 推進ラボ として選定 32
5. 安全で安心なデジタル社会の実現に向けて地方版 IoT 推進ラボ 地方版 IoT 推進ラボ のサポート 1. 地方版 IoT 推進ラボ マークの使用権付与 2. メルマガ ラボイベント等による IoT 推進ラボ会員への広報 3. 地域のプロジェクト 企業等の実現 発展に資するメンターの派遣 メンターの種類 1 イベント講師 ラボ開催のイベント等における講師を依頼する場合 2 定期メンター ラボの事業戦略 計画等の策定支援を定期的に依頼する場合 3 スポットメンター ラボ開催のイベント等における審査員やアドバイザ等を依頼する場合 33
5. 安全で安心なデジタル社会の実現に向けて 計画性をもって事業をデザインすることが重要 リスクを想定し 回避 軽減する 企画から参画し スキルを持って開発に取り組む人材を育てる 利用者 安全で安心できるデジタル社会を実現 技術者 ビジネス ( 製品 サービス ) 33 34
ご清聴ありがとうございました 35