資料 4 サプライチェーンサイバーセキュリティ等に関する海外の動き 平成 30 年 8 月 3 日経済産業省商務情報政策局サイバーセキュリティ課

Similar documents
1. 米国における近年の動き NIST SP NIST Cybersecurity Framework ボットネット及びその他の自動化 分散化した脅威に対する対策 2. 欧州における近年の動き (Cybersecurity Certification Framework 等 ) 3.A

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

個人情報保護法の3年ごと見直しに向けて

CCM (Cloud Control Matrix) の役割と使い方

マルチクラウド環境の最適解! ネットワンの セキュリティサービス 2018 年 12 月 13 日ネットワンシステムズ株式会社ビジネス推進本部商品企画部セキュリティチーム兼松智也

安全保障会議 ( 現行 ) の概要 ( 構成 ) 委員長 : 内閣官房長官 委 安全保障会議 ( 構成 ) 議長 : 内閣総理大臣 事態対処専門委員会 内閣総理大臣の諮問に基づき 以下の事項を審議 国防の基本方針 防衛計画の大綱 対処基本方針 武力攻撃事態 / 周辺事態等への対処 / 自衛隊法第 3

セキュリティ委員会活動報告

JIS Q 27001:2014への移行に関する説明会 資料1

マルウェアレポート 2017年9月度版

米国のHIPAA法における 個人情報等の保護に関する規定について

サイバー攻撃の拡大と深刻化

組織内CSIRT構築の実作業

Slide 1

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

参考資料 1 既存のセキュリティ 要求基準について ISO/IEC 27017:2015 ( クラウドサービスのための情報セキュリティ管理策の実践の規範 )

社会的責任に関する円卓会議の役割と協働プロジェクト 1. 役割 本円卓会議の役割は 安全 安心で持続可能な経済社会を実現するために 多様な担い手が様々な課題を 協働の力 で解決するための協働戦略を策定し その実現に向けて行動することにあります この役割を果たすために 現在 以下の担い手の代表等が参加

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

TLPT の G7 基礎的要素 はさまざまな TLPT の手法の互換性を高めることを 目指すものであり 既存のフレームワークを無効化したり 変化する脅威状況 へ継続的に適応することを妨げるものではない TLPT とは? TLPT 1 は ( 金融機関の ) コントロール下において 実在の攻撃者の戦術

資料 4 テクノロジーの進展と電力ネットワークの高度化や新ビジネスについての諸外国の動向 ( 第 1 回 次世代技術を活用した新たな電力プラットフォームの在り方研究会 第 1 回用参考資料 ) 2018 年 10 月 15 日

ICT-ISACにおけるIoTセキュリティの取組について

PowerPoint プレゼンテーション

どのような便益があり得るか? より重要な ( ハイリスクの ) プロセス及びそれらのアウトプットに焦点が当たる 相互に依存するプロセスについての理解 定義及び統合が改善される プロセス及びマネジメントシステム全体の計画策定 実施 確認及び改善の体系的なマネジメント 資源の有効利用及び説明責任の強化

ISO/IEC27000ファミリーについて

JICA 事業評価ガイドライン ( 第 2 版 ) 独立行政法人国際協力機構 評価部 2014 年 5 月 1

平成18年度標準調査票

PowerPoint プレゼンテーション

学生確保の見通し及び申請者としての取組状況

Microsoft PowerPoint - B1_Shingo_Yamanaka (NXPowerLite).pptx

[ 指針 ] 1. 組織体および組織体集団におけるガバナンス プロセスの改善に向けた評価組織体の機関設計については 株式会社にあっては株主総会の専決事項であり 業務運営組織の決定は 取締役会等の専決事項である また 組織体集団をどのように形成するかも親会社の取締役会等の専決事項である したがって こ

制御システムセキュリティアセスメントサービス

ネットワンシステムズ会社概要 従業員 2,3 0 名 売上 1,6 1 億円 事業拠点国内 17 拠点 グループ会社国内 2 海外 2 NetOneSystemsUSA,Inc. NetOneSystemsSingaporePte.Ltd. トップベンダーと強固なリレーションによる先進技術の利活 推

2019 年 7 月 国家資格 情報処理安全確保支援士 がわかる! 制度説明会 セキュリティの実態から紐解く必要な人材像 - 登録セキスペへの期待と役割 - 情報処理安全確保支援士集合講習講師藤井仁志

基本的な考え方/CSRマネジメント/マテリアリティ

Windows 10 推奨アップグレードについて

Microsoft PowerPoint - A7_松岡(プレゼン用)jnsa-総会-IoTWG-2015.pptx

スキル領域 職種 : ソフトウェアデベロップメント スキル領域と SWD 経済産業省, 独立行政法人情報処理推進機構

Copyright Compita Japan ISO33k シリーズとは? これまで使用されてきたプロセスアセスメント標準 (ISO/IEC 本稿では以降 ISO15504 と略称する ) は 2006 年に基本セットが完成し 既に 8 年以上が経過しています ISO

チェック式自己評価組織マネジメント分析シート カテゴリー 1 リーダーシップと意思決定 サブカテゴリー 1 事業所が目指していることの実現に向けて一丸となっている 事業所が目指していること ( 理念 ビジョン 基本方針など ) を明示している 事業所が目指していること ( 理念 基本方針

ISO/IEC ファミリー規格の最新動向 ISO/IEC JTC1/SC27 WG1 小委員会主査 ( 株式会社日立製作所 ) 相羽律子 Copyright (c) Japan ISMS User Group

Rodrigo Domingues UNDP Borja Santos Porras/UNDP Ecuador UNDP Kazakhstan 2

Microsoft Word HPコンテンツ案 _履歴なし_.doc

取組みの背景 これまでの流れ 平成 27 年 6 月 日本再興戦略 改訂 2015 の閣議決定 ( 訪日外国人からの 日本の Wi-Fi サービスは使い難い との声を受け ) 戦略市場創造プラン における新たに講ずべき具体的施策として 事業者の垣根を越えた認証手続きの簡素化 が盛り込まれる 平成 2

自己紹介 株式会社コスモス コーポレイション製品安全 /EMC/ 医療機器評価 認証 TUViT GmbHの日本代理店 ETSI 認証 / データセンタ監査 / コモンクライテリア評価 / 調査 一般財団法人日本情報経済社会推進協会 客員研究員 東京工科大学手塚悟研究室 1

平成18年度標準調査票

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 年版改定の概要 年版の6 大重点ポイントと対策 年版と2008 年版の相違 年版への移行の実務

PowerPoint プレゼンテーション

特定 (ID) ID.RA-1: 資産の脆弱性を特定し 文書化している ID.RA-2: 情報共有フォーラム / ソースより 脅威と脆弱性に関する情報を入手している ID.RA-3: 内外からの脅威を特定し 文書化していリスクアセスメント (ID.RA): 企業はる 自組織の業務 ( ミッション 機

Transcription:

資料 4 サプライチェーンサイバーセキュリティ等に関する海外の動き 平成 30 年 8 月 3 日経済産業省商務情報政策局サイバーセキュリティ課

米国における最近の動き サイバーセキュリティフレームワークの改訂 2017 年 5 月大統領令に基づく各種報告書の公表 連邦政府のサイバーセキュリティリスクに関する報告書 ボットネット対策等に関する報告書 NIST SP800-171

サイバーセキュリティフレームワークの改訂 2 度の意見募集を踏まえた修正を行った上で 2018 年 4 月 米国国立標準技術研究所 (NIST) が Cybersecurity Framework Version1.1 を決定 国際標準化に向けた活動も開始 NIST Cybersecurity Framework の経緯 2014 年 2 月 サイバーセキュリティ対策の全体像を示し 特定 防御 検知 対応 復旧 に分類して対策を記載した Cybersecurity Framework Vesion1.0 を策定 2017 年 1 月 Cybersecurity Framework Version1.1 draft1 を公表 2017 年 12 月 Cybersecurity Framework Version1.1 draft2 を公表 2018 年 4 月 Cybersecurity Framework Version1.1 を決定 NIST Cybersecurity Framework Version1.1 の特徴 Version1.1 は Version1.0 より特に以下の点が追記され その重要性が説かれている サプライチェーンのリスク管理 (Supply Chain Risk Management) サイバーセキュリティリスクの自己評価 (Self-Assessing Cybersecurity Risk) Cybersecurity Framework における 5 つの分類 特定 防御検知 対応復旧 ID.AM ID.BE ID.GV ID.RA ID.RM ID.SC 資産管理ビジネス環境ガバナンスリスクアセスメントリスク管理戦略サプライチェーン管理 Version1.1 で ID.SC が新規に追加され サプライチェーン全体で対策を実施することや 必要に応じて監査を行うことを要求 2

2017 年 5 月大統領令に基づく各種報告書の公表 2017 年 5 月 トランプ大統領が サイバーセキュリティ強化のための大統領令 に署名 関係省庁に対して複数の報告書の策定を命令 2018 年 5 月 29-31 日 関係省庁は国内での議論を喚起するため 可能な範囲で各種報告書を公表 1. 連邦政府のサイバーセキュリティリスクに関する報告書 (5/29 国土安全保障省 行政管理予算局 ): 96 の政府機関のサイバーセキュリティ管理能力のアセスメント結果と改善策を報告 2. ボットネット対策等に関する報告書 (5/30 国土安全保障省 商務省 ): ボットネット対策等のために官民が取るべき対策を報告 120 日以内にロードマップを策定予定 3. 電力網への攻撃に対するインシデント レスポンスに関する報告書 (5/31 エネルギー省 ): 電力事業者がインシデントに対応するための 7 つの能力ギャップと提言について報告 4. 人材育成に関する報告書 (5/31 国土安全保障省 商務省 ): 299,000 人分のオンライン上のセキュリティ関連空きポストに対応するための取組について報告 5. 米国のサイバー利益保護のための国際活動に関する報告書 (5/31 国務省 ): 開放的で相互運用可能で安全で信頼の高いサイバー空間のために必要な外交活動等について報告 6. 敵対勢力に対する抑止等に関する報告書 (5/31 国務省 ): 武力等により抑止を行うべき悪意あるサイバー活動の基準 閾値等について報告 7. 重要インフラ防御に関する報告書 (5/31 国土安全保障省 ): 各政府機関が各重要インフラ事業者に対して有する権限や能力について特定し 改善策を報告 8. 市場の透明性に関する報告書 (5/31 国土安全保障省 ): 事業者のセキュリティリスクの透明化のために必要な調査 政策検討について報告 3

連邦政府のサイバーセキュリティリスクに関する報告書 行政管理予算局 (OMB) と国土安全保障省 (DHS) が政府機関のサイバーセキュリティ管理能力のアセスメントを行い 96 機関中 71 機関 (74%) の機関が高リスク又はリスクがあると報告 改善に必要とされる 4 つのコア活動 (1) サイバー脅威フレームワークの活用により リスクの優先順位をつけて対策に取組む (2)ITとサイバーセキュリティに係るコスト管理と資産マネジメント能力の標準化 (3)SOCの統合により検知 対応能力を向上 (4) プロセス改善や繰り返しのリスクアセスメントにより 説明責任能力を向上 サイバー脅威フレームワーク ( 右図 ) 国家情報長官官房 (ODNI) が開発 サイバー攻撃における一連の活動を 4 つの段階 (Preparation Engagement Presence Effect/Consequence) に分けて整理 サイバー攻撃に関する共通的な語彙と枠組みを提供し 脅威の傾向や必要な対策等を検討する際に 使用されることを目指している 出典 : 国家情報長官官房 (ODNI) 4

ボットネット対策等に関する報告書 ボットネット及びその他の自動化 分散化した脅威に対するインターネット 通信のエコシステムの強靭性の強化に関する報告書 5 つの目標を設定 適応可能 持続可能かつ安全な技術市場環境の実現に向けた明確な道筋の特定 進化する脅威に動的に対応するためのインフラのイノベーションの促進 ネットワークのエッジにおけるイノベーションの促進による 自動化 分散化した脅威の防止 検出 影響の緩和 国内外のセキュリティ インフラ 運用技術の各コミュニティ間の連携の促進と支援 エコシステム全体にわたる啓発 教育の強化 商務省及び国土安全保障省に対して 本報告書承認後 120 日以内に 産業界 社会 国際パートナーと協議し 初期ロードマップ策定を要請 2018 年 5 月最終報告書 A Report to the President on Enhancing the Resilience of the Internet and Communications Ecosystem Against Botnets and Other Automated, Distributed Threats( ボットネット及びその他の自動化 分散化した脅威に対するインターネット 通信のエコシステムの強靭性の強化に関する報告書 ) 2018 年 5 月 22 日本報告書の公表をもって取組が終わる訳ではないとした上で 連邦政府が取り組むべき事項に力点を置き 関係者による様々な取組の調整 協働をサポートするための道筋を提示 5

NIST SP800-171 NIST SP800-171 は CUI (*1) の保護を目的に 14 個のカテゴリと 109 の項目から構成 NIST は SP800-171 の定期的なメンテナンスを実施し 2018/06/07 にも アップデート版を公表 (*1) Controlled Unclassified Information; 管理対象となるが秘密指定されていない情報 2018/06/07 アップデート版では セキュリティ要件を満たすために必要な具体的な事項を記載した APPENDIX F:DISCUSSION が追加された 例 3.1.13 SECURITY REQUIREMENT リモートアクセスセッションの機密性を保護するために暗号メカニズムを採用する DISCUSSION 一般に適用される暗号標準には FIPS で検証された暗号と NSA で承認された暗号が含まれる 6

欧州における最近の動き Cybersecurity Certification Framework eプライベート規則 NIS 指令

欧州における最近の動き 欧州では Cybersecurity Certification Framework の導入に向けた議論を継続 2018 年 5 月 25 日 EU 一般データ保護規則 (GDPR) 施行 e プライバシー規則も審議中 Cybersecurity Certification Framework の経緯 2017 年 9 月 ユンカー欧州委員会委員長の施政方針演説で EU におけるサイバーセキュリティ政策 (Cybersecurity Act) が発表され そこには新たにサイバーセキュリティ認証フレームワーク (Cybersecurity Certification Framework) の導入について言及 2018 年 2 月 EU 標準化団体と ENISA により Cybersecurity Act に関する会議開催 2018 年 3 月 欧州委員会と ENISA により Cybersecurity Certification Framework に関する会議開催 2019 年 5 月 Cybersecurity Act の施行予定 e プライバシー規則 e プライバシー規則 (eprivacy Regulation:Regulation on Privacy and Electronic Communications) 別名 クッキー (Cookie) 法 は プライバシー保護を目的とした EU の新規制 クッキーを利用して Web サービスの利用者を追跡する場合 利用者に対して明確な同意を得ることを要求 また もし利用者が追跡行為を拒否しても 平等に Web サービスの提供を義務付け Google Facebook 等の大手デジタル企業は e プライバシー規則が施行されると 広告収入に基づく現行のビジネスモデルが崩壊することを危惧し 反対キャンペーンを実施 8

NIS 指令 2016 年 8 月 EU においてネットワークと情報システムのセキュリティに関する指令 (NIS 指令 ) が発効 NIS 指令は サイバーセキュリティに関する EU 最初の指令であり EU 全体のセイバーセキュリティレベルを高める法的措置を提供 2018 年 5 月 9 日までに EU 各国に対して NIS 指令に基づく国内法の整備を要求 2018 年 11 月 9 日までに 重要インフラ事業者やデジタルサービス提供者等に対して リスクマネジメントやインシデント報告の義務を要求 NIS 指令の目的 (1) 国家レベルでのサイバーセキュリティ能力向上 (2)EU レベルの協力強化 (3) 重要インフラ事業者やデジタルサービス提供者等に対するリスクマネジメントやインシデント報告義務化 対象事業者の義務 適切なセキュリティ対策 各国当局へのインシデントの通報 以下のセキュリティ対策を含む 1 リスクの予防 2 ネットワークと情報システムのセキュリティ確保 3 インシデントハンドリング 9

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック