0

サイバーセキュリティに関する取り組みとリスクマネジメント

2016年10月31日

日本電信電話株式会社　顧問　（元副社長）

宇治　則孝

シンビオ研究談話会資料

ＮＴＴグループのフォーメーション

ＮＴＴ東日本 ＮＴＴ西日本 ＮＴＴコミュニケーションズ

ＮＴＴデータ

その他グループ会社

長距離・国際通信事業

データ通信事業 その他の事業

100％*

100％*

100％*

54.2％*

地域通信事業不動産事業金融事業

建築・電力事業

• 連結営業収益 : 115,410億円

• 連結営業利益 : 13,481億円

• 従業員数 : 241,450名

• 連結子会社数 : 907社

営業収益営業収益

営業利益営業利益

従業員数従業員数

子会社数子会社数

34,079億円

2,650億円

66,200名

52社

22,509億円

967億円

43,750名

383社

16,168億円

1,127億円

80,550名

258社

12,945億円

740億円

24,800名

89社

ＮＴＴドコモ

移動通信事業

65.7％*

45,271億円

7,884億円

26,150名

125社

*数字は議決権比率（2016年3月末現在）

DimensionData

100％*

（注）2016年3月期。各セグメントの営業収益および営業利益は、セグメント間取引を含む

1

各セグメントに占める割合各セグメントに占める割合

2

長距離・長距離・国際通信事業国際通信事業

データ通信事業データ通信事業

その他の事業その他の事業

地域通信事業地域通信事業

不動産事業不動産事業

金融事業金融事業

建築・電力建築・電力事業事業

移動通信事業移動通信事業

収入 利益 社員数

※数値は２０１５年度実績

２６.０％（３兆４,０７９億円）

１９.８％（２,６５０億円）

２７.４％（６６,２１４名）

１７.２％（２兆２,５０９億円）

７.２％（９６７億円）

１８.１％（４３,７５８名）

３４.６％（４兆５,２７１億円）

５９.０％（７,８８４億円）

１０.８％（２６,１２９名）

１２.３％（１兆６,１６８億円）

８.４％（１,１２７億円）

３３.４％（８０,５２６名）

９.９％（１兆２,９４５億円）

５.６％（７４０億円）

１０.３％（２４,８２１名）

略歴略歴

3

19731973

19781978

19821982

19851985

技術局 ＤＩＰＳ（コンピュータ）、ＤＣＮＡ（通信プロトコル）、データ端末

電気通信設備計画（札幌、北陸）通信局

技術局電電総裁室企画室

ＮＴＴ新規事業開発室

技術戦略総括電電民営化、新規事業企画

ＪＶ企画

19831983

19871987 ＮＴＴデータ 民間企業分野、営業、コンサル、企画開発事業拡大、Ｍ＆Ａ新世代情報サービス、ベンチャー会社経営企画

20072007 ＮＴＴ持株 技術戦略、情報戦略、成長戦略サービス創造、グループ連携、Ｒ＆Ｄイノベーションクラウド戦略

20122012 ＮＴＴ顧問 社外取締役、ＩＴ協会、テレワーク協会

4

サイバーセキュリティとは

近年のサイバー攻撃の動向

国のサイバーセキュリティ戦略（日本）の動向

サイバーセキュリティ先進国（米国）の動向

ＮＴＴグループの取り組み

　（サイバー攻撃に対するリスクマネジメント）

今後に向けて

5

セキュリティの種類セキュリティの種類

※出資を募る団体を損害から保護するという意味から派生

保安

一般

警備

ホームセキュリティ

安全保障

金融

証券※

コンピュータ・仮想空間・ＩＣＴ

コンピュータセキュリティ

情報セキュリティ

ネットワークセキュリティ現実世界・物理的な領域

6

セキュリティに関するトレンドセキュリティに関するトレンド

社会環境の自動制御が可能に

社会環境の自動制御が可能に

【想定されるトレンド】【環境変化】

IoTの進展により守るべき対象が拡大・多様化

IoTの進展により守るべき対象が拡大・多様化

増加・深刻化する脅威に対抗する

ために連携すべき組織が拡大

増加・深刻化する脅威に対抗する

ために連携すべき組織が拡大

数百億のデバイスが対象に

数百億のデバイスが対象に

社会全体に対する攻撃が発生

社会全体に対する攻撃が発生

単一の国家や企業では対応不可

単一の国家や企業では対応不可

(2000年) (2010年) (2020年)

ﾃﾞﾊﾞｲｽﾃﾞﾊﾞｲｽ PCPC ｽﾏｰﾄﾌｫﾝﾀﾌﾞﾚｯﾄ

ｽﾏｰﾄﾌｫﾝﾀﾌﾞﾚｯﾄ IoTIoT

ｻｰﾋﾞｽ効果

ｻｰﾋﾞｽ効果

ﾌﾞﾛｰﾄﾞﾊﾞﾝﾄﾞWeb

業務効率化

ﾌﾞﾛｰﾄﾞﾊﾞﾝﾄﾞWeb

業務効率化

ｸﾗｳﾄﾞSNS

日常生活改善

ｸﾗｳﾄﾞSNS

日常生活改善

ﾋﾞｯｸﾞﾃﾞｰﾀ、AIｽﾏｰﾄﾗｲﾌ社会変革

ﾋﾞｯｸﾞﾃﾞｰﾀ、AIｽﾏｰﾄﾗｲﾌ社会変革

脅威影響

　（対象）

脅威影響

　（対象）

ﾏﾙｳｪｱ感染情報漏えい

（個人）

ﾏﾙｳｪｱ感染情報漏えい

（個人）

ｻｲﾊﾞｰ攻撃機密情報搾取

（組織）

ｻｲﾊﾞｰ攻撃機密情報搾取

（組織）

ｻｲﾊﾞｰﾃﾛ物理的被害（国家・社会）

ｻｲﾊﾞｰﾃﾛ物理的被害（国家・社会）

ｾｷｭﾘﾃｨ対策

ｾｷｭﾘﾃｨ対策

ｱﾝﾁｳｨﾙｽﾕｰｻﾞ教育

ｱﾝﾁｳｨﾙｽﾕｰｻﾞ教育

ｾｷｭﾘﾃｨｱﾌﾟﾗｲｱﾝｽMSS/CSIRT

ｾｷｭﾘﾃｨｱﾌﾟﾗｲｱﾝｽMSS/CSIRT

ｲﾝﾃﾘｼﾞｪﾝｽ共有世界的防衛体制

ｲﾝﾃﾘｼﾞｪﾝｽ共有世界的防衛体制

２０２０年に向け、世界的なＩｏＴの浸透や新サービス創出の加速が社会変革をもたらす一方で、セキュリティに関する新たな課題やニーズが生じる可能性がある

7

サイバーセキュリティとは

近年のサイバー攻撃の動向

国のサイバーセキュリティ戦略（日本）の動向

サイバーセキュリティ先進国（米国）の動向

ＮＴＴグループの取り組み

　（サイバー攻撃に対するリスクマネジメント）

今後に向けて

8

サイバー攻撃の動向サイバー攻撃の動向

対象 概要 時期

航空 サイバー攻撃によって、航空会社（ＬＯＴポーランド航空）の欠航が続出 2015年6月

政府大規模サイバー攻撃によって、米政府の職員情報を管理する連邦人事管理局（ＯＰＭ）

のコンピューターからアメリカ政府職員400万人分の個人情報が流出2015年6月

政府 サイバー攻撃によって、日本年金機構が100万人以上の個人情報を漏洩 2015年5月

放送 サイバー攻撃によって、仏テレビ局（ＴＶ５ Ｍｏｎｄｅ）が放送不能の事態発生 2015年4月

電力サイバー攻撃によって、韓国の原子力発電所が不正侵入される

韓国の原子炉23基の安全性に影響はなし2014年12月

工場 サイバー攻撃によって、ドイツの鉄鋼工場の生産設備が破壊される事態に 2014年12月

その他サイバー攻撃によって、米映画会社（ソニー・ピクチャーズエンタテインメント）の俳優ら

の情報流出2014年12月

人の心理的な隙やミス等を突いた攻撃（ソーシャルエンジニアリング手法）の増加

攻撃対象の非情報系システム（ＩｏＴ/制御系システム）への広がり

9

人の心理的な隙やミス等を突いた攻撃（標的型攻撃）人の心理的な隙やミス等を突いた攻撃（標的型攻撃）

【攻撃者】

マルウエア配信サーバ

【メール／Webサイト】 【被害者】

①なりすましメール送付　Webサイトの改ざん ②添付ファイルの開封

　サイトへアクセス

④気付かずにマルウエアをダウンロード

③配信サーバに　自動でアクセス

なりすましメールやWebサイト改ざん等により、利用者に気付かれないようにウィルスをダウンロードさせ、利用者のＰＣをマルウエアに感染させて重要情報を詐取する攻撃

http://

●日本年金機構による情報流出●日本年金機構による情報流出

10

サイバー攻撃の広がりサイバー攻撃の広がり

サイバー攻撃の標的は情報系システムから、非情報系システム（ＩｏＴ/制御系）へと対象が拡大してきている

制御システムのオープン化（標準プロトコル・汎用ＯＳの利用及び情報システムとネットワークを介した相互接続の進展）により、セキュリティリスクが高まっている

https://www.ipa.go.jp/files/000050515.pdf

https://www.youtube.com/watch?v=fJyWngDco3g

工場工場（（9797件件,33%,33%））

FY2015のICS-CERTによる対応件数（全295件）

エネルギー（電気・ガス）エネルギー（電気・ガス）（（4646件件,16%,16%））

水道水道（（2525件件,8%,8%））

交通交通（（2323件件,8%,8%））

11

サイバーセキュリティとは

近年のサイバー攻撃の動向

国のサイバーセキュリティ戦略（日本）の動向

サイバーセキュリティ先進国（米国）の動向

ＮＴＴグループの取り組み

　（サイバー攻撃に対するリスクマネジメント）

今後に向けて

12

我が国におけるサイバーセキュリティ政策推進体制我が国におけるサイバーセキュリティ政策推進体制

（法施行後 Ｈ２７.１.９～）

我が国の安全保障に関する重要事項を審議

国家安全保障会議（ＮＳＣ）

本部長　内閣官房長官

内閣サイバーセキュリティセンター長　（内閣官房副長官補）

サイバーセキュリティ戦略本部(2015.1.9 ｻｲﾊﾞｰｾｷｭﾘﾃｨ基本法により設置)

経済産業省（情報政策）

総務省（通信・ネットワーク政策）

防衛省（国の防衛）

警察庁（サイバー犯罪・攻撃の取締り）

＜その他関係省庁＞文部科学省（セキュリティ教育）等

内閣官房　内閣サイバーセキュリティセンター(2015.1.9 内閣官房組織令により設置)

外務省（外交・安全保障）

＜重要インフラ所管省庁＞金融庁　（金融機関）

総務省　（地方公共団体、情報通信）

厚生労働省　（医療、水道）

経済産業省　（電力、ガス、化学、

　　　　　　　　　　　　クレジット、石油）

国土交通省　（鉄道、航空、物流）

政府機関（各府省庁）重要インフラ事業者等 企業 個人

　　　　内閣内閣総理大臣

緊密連携

高度情報通信ネットワーク社会の形成に関する施策を迅速かつ重点的に推進

高度情報通信ﾈｯﾄﾜｰｸ社会推進戦略本部

（ＩＴ総合戦略本部）

事務局

＜閣僚本部員５省庁＞

緊密連携

協力

協力

内閣サイバーセキュリティセンター資料を基にＮＴＴにて編集

13

サイバーセキュリティ政策の経緯サイバーセキュリティ政策の経緯

情報ｾｷｭﾘﾃｨﾎﾟﾘｼｰに関するｶﾞｲﾄﾞﾗｲﾝ 政府機関の情報ｾｷｭﾘﾃｨ対策のための統一基準

内閣官房情報ｾｷｭﾘﾃｨｾﾝﾀｰ(2005.4 設置)

情報ｾｷｭﾘﾃｨ政策会議(2005.5 設置)

省庁ＨＰ連続改ざん

米国同時多発

テロ2001.9

2000.1

試行錯誤

リスクゼロ社会

国家安全保障・危機管理としてのサイバーセキュリティ

米韓ＤＤｏS攻撃

ＤＮＳキャッシュポイズニング

Gumblar猛威

ボットネットによる攻撃

Ｗｉｎｎｙ

フィッシング詐欺スパイウェア

誘導型攻撃の出現

Ｗｅｂサーバの脆弱性への攻撃

９．１８攻撃

制御ｼｽﾃﾑＳｔｕｘｎｅｔ

攻撃 韓国大規模障害

ＤｏＳ攻撃、コンピュータウイルス対策

「事故前提社会」でのリスクベース対策

遠隔操作ウィルス

感染ＰＣによる不正送金

米国での中国軍関係者起訴・指名手配

水飲み場型攻撃

米国ソニー（ＳＰＥ）

高度なサイバー脅威に対し積極的な対処が求められる時代

○重要な環境変化

サミット、２０２０オリパラ

マイナンバー利用開始

ＩｏＴの広がり　等

ｻｲﾊﾞｰﾃﾛ対策に係る特別行動計画

情報ｾｷｭﾘﾃｨ対策に係る行動計画

第１次情報ｾｷｭﾘﾃｨ基本計画

第２次情報ｾｷｭﾘﾃｨ基本計画

情報ｾｷｭﾘﾃｨ対策に係る第２次行動計画

政府機関対策

重要ｲﾝﾌﾗ対策

基本戦略

情報ｾｷｭﾘﾃｨ対策推進室

(2000.2設置)

国民を守る情報ｾｷｭﾘﾃｨ戦略

ｻｲﾊﾞｰｾｷｭﾘﾃｨ戦略

ｻｲﾊﾞｰｾｷｭﾘﾃｨ戦略（2015.9.4 閣議決定）

情報ｾｷｭﾘﾃｨ対策に係る第３次行動計画

組織体制

サイバーセキュリティ基本法公布

(2014.11.12)

内閣ｻｲﾊﾞｰｾｷｭﾘﾃｨｾﾝﾀｰｻｲﾊﾞｰｾｷｭﾘﾃｨ戦略本部(2015.1設置)

年金機構情報流出

標的型攻撃組織的高度化

内閣サイバーセキュリティセンター資料を基にＮＴＴにて編集

２０００ ２００５ ２０１０ ２０１５ 年度

14

新たな「サイバーセキュリティ戦略」について新たな「サイバーセキュリティ戦略」について

国民が安全で安心して暮らせる社会の実現

国民が安全で安心して暮らせる社会の実現

国際社会の平和・安定及び我が国の安全保障

国際社会の平和・安定及び我が国の安全保障

経済社会の活力の向上及び持続的発展

経済社会の活力の向上及び持続的発展

２０２０年・その後に向けた基盤形成

費用から投資へ

横断的施策横断的施策

■安全なＩｏＴシステムの創出■セキュリティマインドを持った　 企業経営の推進■セキュリティに係るビジネス環境

の整備

サイバー空間における積極的平和主義

■国民・社会を守るための取組■重要インフラを守るための取組■政府機関を守るための取組

■我が国の安全の確保■国際社会の平和・安定■世界各国との協力・連携

■研究開発の推進　　　攻撃検知・防御能力向上(分析手法・法制度を含む)のための研究開発

■人材の育成・確保　ハイブリッド型人材の育成、実践的演習、突出人材の発掘・確保、キャリアパス構築

内閣サイバーセキュリティセンター資料を基にＮＴＴにて編集

「自由、公正かつ安全なサイバー空間」を創出・発展させ、もって 「経済社会の活力の向上及び持続的発展」、「国民が安全で安心して暮らせる社会の実現」 、「国際社会の平和・安定及び我が国の安全保障」 に寄与する

15

重要インフラの情報セキュリティに関わる第３次行動計画重要インフラの情報セキュリティに関わる第３次行動計画

重要インフラの情報セキュリティに係る第３次行動計画

重要インフラ所管省庁

●金融庁

●総務省

●厚生労働省

●経済産業省

●国土交通省 関係機関等

●情報セキュリティ関係省庁

●事案対処省庁

●防災関係府省庁

●情報セキュリティ関係機関

●サイバー空間関連事業者

●情報通信

●金融

●航空

●鉄道

●電力

●ガス

●政府・行政サービス（含・地方公共団体）

重要インフラ（１３分野）

安全基準等の整備・浸透

情報共有体制の強化

リスクマネジメント

障害対応体制の強化

防護基盤の強化

●医療

●水道

●物流

●化学

●クレジット

●石油

内閣サイバーセキュリティセンター（ＮＩＳＣ）による調整・連携

H26.5.19 情報ｾｷｭﾘﾃｨ政策会議 策定H27.5.25 ｻｲﾊﾞｰｾｷｭﾘﾃｨ戦略本部改訂

内閣サイバーセキュリティセンター資料を基にＮＴＴにて編集

16

サイバーセキュリティとは

近年のサイバー攻撃の動向

国のサイバーセキュリティ戦略（日本）の動向

サイバーセキュリティ先進国（米国）の動向

ＮＴＴグループの取り組み

　（サイバー攻撃に対するリスクマネジメント）

今後に向けて

17

米国の状況（１）米国の状況（１）

• 官民連携重視：　重要インフラの所有者は民間企業であり、政府からの強制ではなく、民間の自主性を促す傾向。

• 商務省の技術標準局（ＮＩＳＴ）が、オバマ大統領の指示を受け、重要インフラ向けサイバーセキュリティフレームワーク（通称ＮＩＳＴ ＦＷ）公開。産業界からも前向きに受け止められ、適用が進んでいる。

重要インフラ防御重要インフラ防御

デジタル経済/デジタルイノベーションを支えるサイバーセキュリティデジタル経済/デジタルイノベーションを支えるサイバーセキュリティ

• インダストリー４.０、ＡＩ、Ｆｉｎｔｅｃｈ等の活用により企業の競争力が向上するが、同時にインターネット依存度が増し、サイバーリスクが高まる。

• サイバーセキュリティは、デジタルイノベーションを支える技術として認知され、企業成長に向けた投資との位置づけ（コストではなく）。

18

米国の状況（２）米国の状況（２）

• 北米では、業界毎に情報共有を行う取り組み（ＩＳＡＣ）が活発。

• 現在２１のＩＳＡＣが活動中。日本では２つ（ＩＣＴ、金融）のみ。

• インシデント発生時に報告を促す法律（ＣＩＳＡ）が可決。

情報共有の重要性情報共有の重要性

ＮＴＴの取り組みＮＴＴの取り組み

• 官民連携活動（ＣＳＣＣ、ＣＳＲＩＣ）に、北米以外の企業として唯一加盟情報共有、人材育成等の分野で情報収集・意見交換を実施。

• サイバーセキュリティ分野で活動する日本企業として認知され、国際会議やホワイトハウス主催サミットでの講演・パネリストの要請を受ける。

19

業界ごとに情報共有を行う取り組み（ＩＳＡＣ）業界ごとに情報共有を行う取り組み（ＩＳＡＣ）

AutoISAC

EMERGENCY MANAGEMENT

AND RESPONSE ISAC

Oil &Natural Gas

ISAC

AviationISAC

FinancialServiceISAC

Real EstateISAC

NCC/Communication

ISAC

HealthcareReady

Research &Engineering

NetworkISAC

DIBISAC

InformationTechnology

ISAC

Retail Cyber Intelligence

Sharing Center

DefenseSecurity

InformationExchange

MaritimeISAC

Supply ChainISAC

DownstreamNatural

Multi-StateISAC

WaterISAC

ElectricityISAC

National HealthISAC

SURFACE TRANSPORTATION,

PUBLIC TRANSPORTATION

AND OVER-THE-ROAD BUS ISACS

20

サイバーセキュリティとは

近年のサイバー攻撃の動向

国のサイバーセキュリティ戦略（日本）の動向

サイバーセキュリティ先進国（米国）の動向

ＮＴＴグループの取り組み

　（サイバー攻撃に対するリスクマネジメント）

今後に向けて

21

セキュリティ人材育成の取り組みセキュリティ人材育成の取り組み

ＮＴＴグループ各社の事業領域をカバーするため、セキュリティ人材を３つのタイプと３段階のレベルに大別し、人物イメージに応じた人材育成施策を推進

人材タイプ

セキュリティマネジメント・コンサル

セキュリティ運用 セキュリティ研究開発

レベル

上級

中級

初級

業界屈指の実績を持つ第一人者業界屈指の実績を持つ第一人者

深い経験と判断力を備えたスペシャリスト深い経験と判断力を備えたスペシャリスト

必須知識を持ち担当業務を遂行できる実務者必須知識を持ち担当業務を遂行できる実務者

ＣＳＯＣＳＯ ホワイトハッカーホワイトハッカー セキュリティアーキテクトセキュリティアーキテクト

セキュリティコンサルタントセキュリティコンサルタント セキュリティアナリストセキュリティアナリスト セキュアシステム開発ＰＭセキュアシステム開発ＰＭ

セキュリティ推進担当者セキュリティ推進担当者 ＳＯＣ／ＮＯＣ担当者ＳＯＣ／ＮＯＣ担当者 セキュリティＳＥセキュリティＳＥ

人物イメージ（例）

22

セキュリティ人材育成の取り組みセキュリティ人材育成の取り組み

３段階の中でも、今年度は特に中級レベルの人材育成に注力

人材

セキュリティマネジメント・コンサル

セキュリティ運用 セキュリティ開発 目標人数

レベル／要件

上級

中級

初級

トップガン

人材の輩出

スペシャリスト

の増強

セキュリティ

人材の底上げ

セキュリティ人員数（国内）

約10,000人～

2014年 2020年

約2,500人

セキュリティマスターセキュリティマスター

セキュリティプリンシパルセキュリティプリンシパル

セキュリティプロフェッショナルセキュリティプロフェッショナル

セキュリティエキスパートセキュリティエキスパート

50～100

2,000

8,000

23

ＮＴＴグループにおけるセキュリティ推進体制ＮＴＴグループにおけるセキュリティ推進体制

ＮＴＴ持株会社及びグループ各社のＣＩＳＯを中心に、一丸となってセキュリティマネジメントの強化及びセキュリティ人材育成の施策を推進

ナショナルイベントにおいては、 政府やＪＰＣＥＲＴ/ＣＣ やＴ-ＣＥＰＴＥＲ、ＩＣＴ-ＩＳＡＣ等の外部組織とも連携をしながら対応

イベント所管省庁イベント所管省庁

JPCERT/CCJPCERT/CC

ISPISP CEPTOARCEPTOAR

総務省総務省

NISCNISC警察庁警察庁

　

CERT間連携による情報収集

各社から業界団体への協力依頼と情報収集

その他グループ会社

案件受託会社

持株が情報のハブとなり、各社サイバーセキュリティ対策チーム間での情報共有・対処検討

重要インフラ事業者として報告

NTT持 株　 （NTT-CERT）

お客様への報告

T-ISACT-ISAC

政府

外部組織

24

ＮＴＴセキュリティＮＴＴセキュリティ社社

グループが有するセキュリティの分析基盤、脅威情報、専門技術を集約したセキュリティ専門会社として、２０１６年８月１日に事業を開始

独自のＳＩＥＭ（Ｓｅｃｕｒｉｔｙ Ｉｎｆｏｒｍａｔｉｏｎ ａｎｄ Ｅｖｅｎｔ Ｍａｎａｇｅｍｅｎｔ）基盤を強みとし、マネージド・セキュリティ分野で、３年後に世界一を目指す

お客さま

◆セキュリティ・プロダクト・セールスサポート◆セキュリティ専門コンサルティング◆侵入テスト◆高度セキュリティ運用（ＳＯＣ）◆セキュリティ・インテリジェンス◆サービス企画・開発

◆クライアント・マネジメント◆ハード／ソフト／ベンダ保守の再販◆トータル・ソリューション・コンサルティング

他のＳＩｅｒ

他のＳＩｅｒ

他社他社

営業

サービス開発

．．．．．．他サービス

他サービス

25

セキュリティ対策を実現するための研究開発セキュリティ対策を実現するための研究開発

「世界最先端のセキュリティ技術の創出」および「セキュリティ技術を活用した総合的なセキュリティ強化」を目指す

技術活用を軸としたＲ＆Ｄ技術活用を軸としたＲ＆Ｄ

技術開発を軸としたＲ＆Ｄ技術開発を軸としたＲ＆Ｄ

社内システム 法人ソリューション通信サービス

セキュリティ設計・運用（クオリティマネジメント）

セキュリティ設計・運用（クオリティマネジメント）

事故・攻撃予防（プロアクティブ）

事故・攻撃予防（プロアクティブ）

サイバー攻撃検知、防御（ネットワークセキュリティ）

サイバー攻撃検知、防御（ネットワークセキュリティ）

事故・攻撃対応（リアクティブ）

事故・攻撃対応（リアクティブ）

暗号理論とデータ保護技術（データセキュリティ）

暗号理論とデータ保護技術（データセキュリティ）

セキュリティ基本技術

設計・運用技術、技術支援など

26

産業横断サイバーセキュリティ人材育成検討会産業横断サイバーセキュリティ人材育成検討会

経団連配下のサイバーセキュリティ懇談会の参加メンバー、及び重要インフラ企業を中心に、２０１５．６．９発足

情報通信、金融、航空、鉄道、エネルギー関連等、重要インフラ１３業種を中心に、現在４８社以上が参加

ＫＤＤＩ株式会社

ＪＸホールディングス株式会社

住友化学株式会社

全日本空輸株式会社

ソニー株式会社

大日本印刷株式会社

株式会社ＴＢＳテレビ

東海旅客鉄道株式会社

東京海上日動火災保険株式会社

東京ガス株式会社

東京地下鉄株式会社

株式会社 東芝

トヨタ自動車株式会社

株式会社 日本経済新聞社

日本生命保険相互会社

日本テレビ放送網株式会社

日本電気株式会社（ＮＥＣ）

日本電信電話株式会社

日本放送協会

日本郵船株式会社

株式会社野村総合研究所

株式会社パソナ

東日本旅客鉄道株式会社

株式会社日立製作所

富士通株式会社

株式会社みずほフィナンシャルグループ

三井住友カード株式会社

株式会社三井住友銀行

三菱重工業株式会社

三菱商事株式会社

三菱電機株式会社

株式会社三菱東京ＵＦＪ銀行

ヤマトホールディングス株式会社

株式会社リコー

他、現在計４８社以上

27

これまでの成果と国や各省庁との関係これまでの成果と国や各省庁との関係

経団連：『サイバーセキュリティ対策の　強化に向けた提言』

経団連：『サイバーセキュリティ対策の　強化に向けた提言』

ＮＩＳＣ：『サイバーセキュリティ人材育成　　総合強化方針』

ＮＩＳＣ：『サイバーセキュリティ人材育成　　総合強化方針』

経産省：『サイバーセキュリティ経営　ガイドライン』

経産省：『サイバーセキュリティ経営　ガイドライン』

ＮＩＳＴ：『サイバーセキュリティフレームワーク』

ＮＩＳＴ：『サイバーセキュリティフレームワーク』

ＮＩＳＴ：『NICE (National Initiative for Cybersecurity Education)』

ＮＩＳＴ：『NICE (National Initiative for Cybersecurity Education)』 IPA：

『i コンピテンシ ディクショナリ』IPA：『i コンピテンシ ディクショナリ』

経産省：『情報処理安全確保　　　支援制度』

経産省：『情報処理安全確保　　　支援制度』

経産省：『ＩＴ人材の最新動向と将来推計に　関する調査結果　～情報セキュリティ人材13.9万人不足～』

経産省：『ＩＴ人材の最新動向と将来推計に　関する調査結果　～情報セキュリティ人材13.9万人不足～』

（２０１６年７月公開）

総務省：サイバーセキュリティ演習に関する取り組み等

総務省：サイバーセキュリティ演習に関する取り組み等

参考

参考

活動のきっかけ

活動成果の報告、意見

参考

活動成果の報告、意見

活動成果の報告、意見

参考

整合性確認マッピング

（作業中）

マッピング（今後議論）

今後相談（教育プログラム等）

28

参考：最終報告書の公開予定Ｗｅｂサイト参考：最終報告書の公開予定Ｗｅｂサイト

http://cyber-risk.or.jp/

29

重要インフラ等におけるサイバーセキュリティの確保重要インフラ等におけるサイバーセキュリティの確保

内閣府 戦略的イノベーション創造プログラム（ＳＩＰ）資料を基にＮＴＴにて編集

内閣府では、戦略的イノベーション創造プログラム（ＳＩＰ）を設置

課題の１つとして、重要インフラ等におけるサイバーセキュリティの確保を推進

背景背景

研究開発研究開発

展開・成果展開・成果

ＳＩＰ：Ｃｒｏｓｓ-ｍｉｎｉｓｔｅｒｉａｌ Ｓｔｒａｔｅｇｉｃ Ｉｎｎｏｖａｔｉｏｎ Ｐｒｏｍｏｔｉｏｎ Ｐｒｏｇｒａｍ

信頼性の高い技術・システムによる重要インフラ・産業の

安定的運用

世界をリードするセキュアなＩｏＴ機器・

サービス等を通じた経済成長

２０２０オリパラの安全な開催と研究成果のレガシー

としての発展・継続

ＩｏＴ機器の増大・多様化重要インフラ・産業におけるシステムに対する脅威の増大

国際競争の激化

30

ＳＩＰで開発するコア技術の役割ＳＩＰで開発するコア技術の役割

内閣府 戦略的イノベーション創造プログラム（ＳＩＰ）資料を基にＮＴＴにて編集

制御ネットワークＩｏＴシステム

機器運用時機器運用時機器製造・導入時機器製造・導入時

ＩｏＴセキュリティ確認技術

小型ＩｏＴ機器にも適用可能なセキュリティ確認技術を実現、多様なＩｏＴ機器の偽装や改ざ

んを検知

防御技術

ホワイトリスト協調機能によりインシデント発生時も安全な

機器のみで運用を継続

動作監視・解析技術

新旧機器が混在していても、効果的・効率的にシステムの健全性を確認、攻撃を検知

重要インフラ （例：通信・放送、エネルギー、交通） 等

オペレーションセンタ

照合監視センタ

セキュリティ確認技術

従来困難であった運用中も機器の偽装や改ざんを検知

（信頼の連鎖による機器検証）

監視

機器評価機関

機器製造メーカ 「信頼」

「信頼」「信頼」機器導入

適合性検査・認定

「信頼の基点　　」を機器に作り込み

「信頼の基点」対応機器

「信頼の起点」（ｒｏｏｔ）

31

オールジャパン体制による推進オールジャパン体制による推進

内閣府 戦略的イノベーション創造プログラム（ＳＩＰ）資料を基にＮＴＴにて編集

サイバーセキュリティ 推進委員会議長：　　ＰＤ（後藤厚宏）サブＰＤ：手塚 悟事務局： 内閣府委員：　　学識経験者，重要インフラ事業者（出口），外部専門家，　　 　

ＮＩＳＣ，総務省，経産省，防衛省，国交省

サイバーセキュリティ 推進委員会議長：　　ＰＤ（後藤厚宏）サブＰＤ：手塚 悟事務局： 内閣府委員：　　学識経験者，重要インフラ事業者（出口），外部専門家，　　 　

ＮＩＳＣ，総務省，経産省，防衛省，国交省

総合科学技術・イノベーション会議総合科学技術・イノベーション会議

ガバニングボード（有識者議員）ガバニングボード（有識者議員）

内閣府ＰＤ（後藤厚宏）内閣府ＰＤ（後藤厚宏）

ＮＥＤＯ（管理法人）ＮＥＤＯ（管理法人）

知財委員会知財委員会知財委員会 リーダー委員会リーダー委員会

研究開発項目制御・通信機器と制御ネットワークの

セキュリティ対策技術の研究開発

研究開発項目制御・通信機器と制御ネットワークの

セキュリティ対策技術の研究開発

ＮＴＴ，富士通，三菱電機，日立製作所，ＣＳＳＣ，ＥＣＳＥＣ，ルネサス，

ＡＶＣネット，パナソニック

ＮＴＴ，富士通，三菱電機，日立製作所，ＣＳＳＣ，ＥＣＳＥＣ，ルネサス，

ＡＶＣネット，パナソニック

研究開発項目社会実装向け共通プラットフォームの実現と

セキュリティ人材育成

研究開発項目社会実装向け共通プラットフォームの実現と

セキュリティ人材育成

産総研，日立製作所，ＮＴＴコミュニケーションズ，

慶大，名工大

産総研，日立製作所，ＮＴＴコミュニケーションズ，

慶大，名工大

セキュリティ技術ＷＧ（大学・ベンダー・

研究機関等）

セキュリティ技術ＷＧ（大学・ベンダー・

研究機関等）

セキュリティ運用ＷＧ（既存情報共有

組織等）

セキュリティ運用ＷＧ（既存情報共有

組織等）

認証制度・関連法制ＷＧ

（既存認証組織等）

認証制度・関連法制ＷＧ

（既存認証組織等）

人材育成ＷＧ（大学・技術資格

組織等）

人材育成ＷＧ（大学・技術資格

組織等）

外部からのｱﾄﾞﾊﾞｲｽ外部組織との連携

外部からのｱﾄﾞﾊﾞｲｽ外部組織との連携

委託先

32

サイバーセキュリティとは

近年のサイバー攻撃の動向

国のサイバーセキュリティ戦略（日本）の動向

サイバーセキュリティ先進国（米国）の動向

ＮＴＴグループの取り組み

　（サイバー攻撃に対するリスクマネジメント）

今後に向けて

33

レジリエンスの構築レジリエンスの構築

抑止抑止 予防予防 検知検知 回復回復

従来 攻撃攻撃 攻撃をできるだけ防ぐ

今後 攻撃攻撃

防ぐことが困難防ぐことが困難

侵入侵入

攻撃をできるだけ防ぐ

34

ＩｏＴの進展で、サイバー空間が実世界とつながり、

サイバー攻撃による影響大という認識（人命に関わる重大事故）

ＩｏＴの時代にふさわしいサイバーセキュリティ戦略

サイバーリスクの管理は、経営課題

ー やむを得ない「費用」ではなく、積極的な経営への「投資」 ー

今後に向けて今後に向けて

35

サプライチェーン全体でのサイバーセキュリティの確保

脅威情報の共有、分析作業の分担等の業界連携

今後に向けて今後に向けて

ご清聴いただき、ありがとうございました