2011年度の情報セキュリティ政策の評価等プロトタイプ開発やガイドラインの提供によりIPv6の情報セキュリティ対応技術...

2011 年度の情報セキュリティ政策の評価等

2012 年 7 月 4 日

内閣官房情報セキュリティセンター（NISC）

１

目次

Ⅰ はじめに................................................................... ２

（１）本文書の位置付け等 .................................................. ２

Ⅱ 情報セキュリティを取り巻く環境の変化 ....................................... ３

Ⅲ 全体の評価等 ............................................................... ５

（１）総評 ................................................................ ５

（２）次年度に向けた課題 .................................................. ６

Ⅳ 各領域における評価等 ....................................................... ７

１大規模サイバー攻撃事態への対処態勢の整備等 ................................ ７

２新たな環境変化に対応した情報セキュリティ政策の強化 ........................ ８

（１）国民生活を守る情報セキュリティ基盤の強化 ............................ ８

（２）国民・利用者保護の強化 ............................................ １１

（３）国際連携の強化 .................................................... １４

（４）技術戦略の推進等 .................................................. １５

（５）情報セキュリティに関する制度整備 .................................. １７

３東日本大震災を踏まえた情報セキュリティ政策 .............................. １８

（１）災害時に強靭な情報通信システムの構築 .............................. １８

（２）「リスク・マネジメント」、「リスク・コミュニケーション」の確立 ...... １８

（３）情報システム全体の「ニュー・ディペンダビリティ」の確保 ............ １９

別添１「情報セキュリティ 2011」に盛り込まれた施策の実施状況

別添２各情報セキュリティ政策領域における評価に当たり考慮すべき現状

別添３独立行政法人等の情報セキュリティ対策の現状について

２

Ⅰ はじめに

（１）本文書の位置付け等

本文書は、「国民を守る情報セキュリティ戦略」（以下「戦略」という。）及び 2011 年度

の年度計画である「情報セキュリティ 2011」（以下「年度計画」という。）に基づき推進さ

れた情報セキュリティ政策の評価等について取りまとめたものである。

評価等は、「情報セキュリティ政策の評価等の実施方針」（内閣官房情報セキュリティセ

ンター）に基づき、2011 年度に生じ、又は顕在化した環境の変化を整理した上で、年度計

画において示される取組の推進状況を把握しつつ、情報セキュリティ政策が環境の変化に

適合しているかどうか、また、種々の脅威に適切に対処することが可能となっているかど

うかなどについて検証する形で実施した。

３

Ⅱ 情報セキュリティを取り巻く環境の変化1

2011 年７月に策定した「情報セキュリティ 2011」では、その背景となる環境変化を５つ

に分類し記述した。具体的には、①大規模なサイバー攻撃事案等の脅威の増大、②社会経

済活動の情報通信技術への依存度の増大、③新たな技術革新への対応、④グローバル化等、

⑤東日本大震災の発生である。

ここでは、これらの分類をベースに、昨今の情報セキュリティを取り巻く著しい環境変

化の特徴を取りまとめる。

① 本格的なサイバー攻撃の発生と深刻化

・我が国の政府機関における、かねてから海外で発生事例が報告されていた標的型

攻撃2の脅威の顕在化

・更なる進化が見込まれる標的型攻撃

② 社会経済活動の情報通信技術への依存度の更なる高まりとリスクの表面化

・モバイルブロードバンド、スマートフォン、ソーシャル・ネットワークサービス

（SNS）等の普及による、社会経済活動における情報通信技術に対する依存度の加

速度的な高まり

・スマートフォンを対象として、個人情報を利用者に無断で外部に送信する等のマ

ルウェア等の拡大

・個人情報が掲載される傾向にあるブログ、SNS、動画共有サイト等や、データセン

ターやクラウドサービス3等の利用の本格化

・行政サービスの情報通信技術への依存度の更なる高まり

・情報系システムと同様の技術の採用および、情報系システムとの相互接続が増加

している制御システムにおける情報セキュリティ上のリスクの高まり

③ 新たな技術革新に伴う新たなリスクの出現

1 本文書を踏まえた「情報セキュリティ 2012」に詳細を記載しているため、本書では項目の

列挙にとどめた。 2 複数の攻撃手法を組み合わせ、ソーシャルエンジニアリングにより特定の組織や個人を狙

い執拗に行われる攻撃。 3 データサービスやインターネット技術等がネットワーク上にあるサーバ群（クラウド（雲））

にあり、ユーザーは今までのように自分のコンピュータで加工・保存することなく、「どこか

らでも、必要なときに、必要な機能だけ」を利用することができる新しいコンピュータネット

ワークの利用形態。

４

・ M2M4の利用拡大・利用形態の変化と、変化に応じた情報セキュリティ対策を念頭に

置いた環境整備の必要性の高まり

④ 重大な情報システム障害のリスク回避に向けた取組の必要性の高まり

・東日本大震災の複合的被害の教訓を受け、災害に対しても強靭な情報通信システ

ム構築に向けた取組の必要性の高まり

・携帯電話事業者や銀行の情報通信システム等における大規模なシステム障害の発

生を踏まえた、リスク回避に向けた取組の必要性の高まり

⑤ 諸外国における取組の強化

・米英がサイバーセキュリティ戦略を公表するなど諸外国の情報セキュリティに対

する戦略的な取組の強化

・サイバー空間のメリットを享受しつつ国境を越えたサイバー空間における各種脅

威に対処するための国際的な規範作りに向けた議論の進展

・国連や、G8、サイバー空間に関するロンドン会議等、世界的な国際連携の必要性

の高まり

4 M2M（エムツーエム）Machine-to-Machine：ネットワークに繋がれた機械同士が人間を介在

せずに相互に情報交換し、自動的に最適な制御が行われるシステムのこと。例としては、各

種センサー・デバイス（情報家電、自動車、自動販売機、建築物、スマートフォン等）を、

ネットワークを通じて協調させ、エネルギー管理、施設管理、経年劣化監視、防災、福祉等、

多様な分野のサービスを実現するなど。

５

Ⅲ 全体の評価等

（１）総評

「情報セキュリティ 2011」は、「国民を守る情報セキュリティ戦略」に示された考え

方に加え、昨今の環境変化を踏まえた３つの視点を重視して施策を取りまとめることに

より策定された。３つの視点とは、①サイバー空間についての基本的考え方、②情報セ

キュリティの脅威の高度化・多様化に応じた能動的な対応、③東日本大震災を踏まえた

情報セキュリティ分野における対応である。

以下に示すように、重点化された視点に属する主要課題についての取組は、概ね着実

に進ちょくした。

①サイバー空間についての基本的考え方

・オープンで相互運用可能で、セキュアで、信頼性の高いサイバー空間を構築すると

いう基本的考え方の下、米国、ASEAN、欧州諸国等との協議の実施等により、国境を

越えた情報セキュリティ上の脅威に対する国際連携の強化が促進された。

・サイバー空間に関する国際的なコンセンサスの醸成や行動規範の作成に向けた活動

が開始される中、国際的な議論の場で我が国の基本的考えを提示するなどし、その

実現に向けた対応が進められた。

②情報セキュリティの脅威の高度化・多様化に対応した能動的な対応

・政府横断的な情報収集・分析システムの強化については、政府機関内の連携強化が

図られるとともに、官民における CSIRT 等の整備や CSIRT 間の連携・情報共有の取

組が推進されるなど、情報収集・分析システムの充実・強化が図られた。

・スマートフォンのセキュリティ対策については、問題点等について利用周知を行っ

たほか、技術的課題への検討が行われるなど対応が進んだ。

・制御システムの情報セキュリティ上の課題等について堅牢性向上に資する対策が進

んだ。

・クラウドコンピューティングに対応したセキュリティ技術やグリーンクラウドの研

究等要素技術が進歩し、IPv6 セキュリティ検証環境における実証実験と防御技術の

プロトタイプ開発やガイドラインの提供により IPv6 の情報セキュリティ対応技術

等が進展した。

③東日本大震災を踏まえた情報セキュリティ分野における対応

・政府機関及び重要インフラ分野において、震災時に取り組むべき対策やリスク・マ

ネジメントの在り方等について、優先的に取り組むべき対策、中長期的対策等の課

題が示された。また、重要インフラ事業者等の間のリスク・コミュニケーションの

向上が図られた。

・情報システム全体の「ニュー・ディペンダビリティ」の確保については、対災害性

の高い情報システムの実現に向けた研究開発が着実に推進されるなど課題に対する

検討が進んだ。

６

その他の分野の施策についても、詳細は「Ⅳ各領域における評価等」の記載に譲るが、

大多数が着実に推進されている。この結果、「情報セキュリティ 2011」において解決し

ようとしている課題への対応は概ね予定通り進ちょくしたと評価できる。

他方、昨年度は、本書「Ⅱ情報セキュリティを取り巻く環境の変化」に記載の通り情

報セキュリティをめぐる情勢の大きな変化がみられた。これらの中には、今後大きな情

報セキュリティリスクとなり得る可能性を含むものもあり、今後、これらの社会・環境

の変化への的確な対応が求められる。

（２）次年度に向けた課題

「情報セキュリティ 2011」については着実に推進しているものの、環境の変化を考慮

すると、その変化に的確に対応することができるよう既存の取組を一部見直し、項目の

再編成や新規に必要となった取組の追加を実施する必要がある。

したがって次年度に向けては、基本的には「国民を守る情報セキュリティ戦略」に示

された「基本的な考え方」を踏まえて対応することが適当であるが、新たに以下の点を

考慮した上で 2012 年度の施策を策定することが求められる。

・サイバー攻撃の高度化・多様化に伴いサイバー空間の脅威が深刻化しており国や国

の安全に関する重要な情報を扱う企業等に対する対応が急務である点

・スマートフォン利用者の急速な拡大に対しマルウェアが急増しているとともに、個

人情報や企業情報等が大規模に集積されているクラウドコンピューティングや SNS、

システム技術の変化が著しい制御システムについても、一層の情報セキュリティの

確保に向けた取組が不可欠である点

・サイバー空間における脅威が高まる中、諸外国において情報セキュリティに対する

戦略的な取組が強化され、国連における議論やサイバー空間に関するロンドン会議

等を契機に、国際的な枠組み作りへの取組が急速に進展しており、我が国の情報セ

キュリティに対するポジションを踏まえた枠組み作りがなされるためには、ハイレ

ベルによる戦略的な情報発信を含め国際的な枠組み作りへの積極的な参画が極めて

重要である点

すなわち、2012 年度の施策においては、以下について特に重点的対応が必要と考えられ

る。

①国の安全に関する重要な情報を扱う企業等に対する高度な脅威への対応強化

②スマートフォンの本格的な普及等新たな情報通信技術の広まりに伴うリスクの

表面化に対応した安全・安心な利用環境の整備

③国際連携の強化

７

Ⅳ 各領域における評価等

１大規模サイバー攻撃事態への対処態勢の整備等

【総評】

重要インフラ事業者がサイバー攻撃を受けたとの想定に基づく大規模サイバー攻撃事

態等対処訓練の実施や、標的型メール攻撃に関する不正プログラムの解析等によるサイ

バー攻撃に係る脅威・手法分析の推進等、大規模サイバー攻撃事態への対処態勢の整備

が進んでいる。

2010 年 12 月の情報セキュリティ対策推進会議・危機管理関係省庁連絡会議合同会議

における申合せに基づき、情報の集約・共有を実施し、また、GSOC5において政府機関に

対するサイバー攻撃等に関する全般的な傾向や情勢について分析を行い、関係政府機関

に当該分析結果を提供しているほか、諸外国の関係機関等ともサイバー攻撃の主体・方

法等に係る情報の共有を進めるなど、対処に資する平素からの情報収集・共有体制の構

築強化が図られつつある。

【課題】

2011 年秋に、立法府、政府機関、防衛関連企業等に対する標的型攻撃が顕在化した。

引き続き、脅威・手法の分析、対処訓練の実施や、関係機関間における情報の集約・共

有及び民間や諸外国等との連携を含めた対処態勢等の更なる強化を図る必要がある。

5 Government Security Operation Coordination team：政府横断的な情報収集機能、攻撃

等の分析・解析機能等の事案対策促進機能。

８

２新たな環境変化に対応した情報セキュリティ政策の強化

（１）国民生活を守る情報セキュリティ基盤の強化

① 政府機関等の基盤強化6

【総評】

最高情報セキュリティ責任者（CISO）の機能強化及び情報セキュリティガバナン

スの高度化を目的として、2011 年度から公表を行った各府省庁の「情報セキュリテ

ィに係る年次報告書」（以下「情報セキュリティ報告書」という。）等の一連の PDCA

サイクルの取組によって、全体として、各府省庁の情報セキュリティ対策は一定以

上の水準が維持されていると評価できる。

また、増加する標的型攻撃等の新たな脅威や情報技術・利用環境の変化への対応、

運用の実効性向上等を目的とした「政府機関の情報セキュリティ対策のための統一

基準群」（以下「政府機関統一基準群」という。）の改定や、東日本大震災を踏まえ

た情報システム運用継続計画の策定及びガイドラインの改定、標的型メールに係る

教育訓練や政府機関から発信する電子メールに係るなりすましの防止等の取組によ

り、政府機関等を取り巻く環境変化に迅速に対応し、情報セキュリティ水準の継続

的な向上が図られている。

さらに、政府機関や国の安全に関する重要な情報を扱う企業等に対する標的型攻

撃等の脅威が顕在化してきたことを踏まえ、契約締結時の情報セキュリティ要件の

策定及び遵守や、官民における CSIRT 等の整備、CSIRT 間の連携・情報共有の推進

等、対策の強化に向けた検討が引き続き行われている。

【課題】

改定した政府機関統一基準群の周知徹底や情報セキュリティ報告書の作成・公表

等の一連の PDCA サイクルの実施、標的型メール攻撃に関する教育訓練や電子メール

のなりすまし防止の取組等により、引き続き、政府機関を取り巻く環境変化に迅速

に対応し、政府機関等における情報セキュリティ対策の継続的な向上を図る必要が

ある。

さらに、CSIRT 等の機能を有する体制整備や CSIRT 間の連携の強化、協力体制の

構築等の取組により、大規模な情報セキュリティインシデント等の発生に備えた政

府機関全体の対処能力の向上を図る必要がある。

② 重要インフラの基盤強化

【総評】

6 政府機関の評価等については、「政府機関における情報セキュリティに係る年次報告（平

成 23 年度）」も参照のこと。

９

重要インフラサービスの維持、IT 障害発生時の迅速な復旧等の確保に向け、「重

要インフラの情報セキュリティ対策に係る第２次行動計画」（以下「第２次行動計画」

という。）に基づき諸施策を着実に推進している。

共通脅威分析においては、制御システムを標的とした「Stuxnet」等最近の攻撃事

例の障害要因等を整理・分析し、重要システムの堅牢性向上に資する対策を取りま

とめたほか、分野横断的演習においては重要インフラの複合障害をテーマに実践的

な演習を行った。また、セプターカウンシルについては事務局としてベストプラク

ティスの共有等、セプター間の相互理解、情報共有を推進した。

事業継続計画の在り方等については、東日本大震災が重要インフラの情報システ

ムの安定運用に及ぼした影響等について調査を実施したところであり、今後、大規

模な被害の発生に対応可能な重要インフラの基盤強化に向けた取組を進める必要が

ある。

国際連携については、重要インフラ分野についての情報伝達、共有体制について

の意見交換を欧米各国等の政府機関等との間で行うなど、連携の促進が図られてい

る。

また、東日本大震災発生時におけるＩＴシステムの同時障害、政府関係機関や重

要インフラ事業者を含む我が国主要企業のＩＴシステムに対するサイバー攻撃等の

環境変化に対応するため、第２次行動計画の中で早急に強化・補強すべき点につい

て検討を行い、重要インフラ専門委員会において第２次行動計画の改定について決

定が行われるなど、迅速な対応が行われた。

【課題】

昨今の環境変化を踏まえて 2012 年４月に改定された第２次行動計画に基づいた

諸施策を着実に実施する。

東日本大震災において重要インフラ分野に生じた複合的な障害における教訓を踏

まえ、事業継続計画に関する国際規格化の進展状況等も踏まえつつ、『重要インフラ

の情報セキュリティ確保に係る「安全基準等」策定にあたっての指針』やその「対

策編」の改定を検討する。

標的型攻撃や、制御システムへの攻撃等、攻撃手法・対象等に変化が見られてお

り、重要インフラ各分野の安全基準等が、それらの環境変化へ対応しているかにつ

いて分析・検証を行う。

また、平素から事業者間においても相互に役立つ情報の共有等の取組を進めるこ

とが重要である。

③ 情報セキュリティ産業の振興

【総評】

１０

クラウドコンピューティング、IPv6、スマートフォン等に対応した情報セキュリ

ティ技術の確立に向けた検討が進んでいる。また、「情報セキュリティ研究開発戦略」

に基づく研究開発、「情報セキュリティ人材育成プログラム」に基づく高度人材育成

の取組が進められている。

技術戦略専門委員会の下に設置された、情報セキュリティ技術開発を活用した産

業活性化検討ワーキンググループにおいて検討が進められている。

【課題】

個々の対策は着実に進んでいるが、これら施策の有機的連携を図るべく設置され

た情報セキュリティ技術開発を活用した産業活性化検討ワーキンググループは検討

を開始したところであり、更に検討を進める必要がある。

スマートフォンや SNS 等、急激に普及・拡大している分野におけるセキュリティ

対策の強化は、産業振興にもつながる可能性が高く、一層強化する必要がある。

④ その他の基盤強化

【総評】

スマートフォンについては、「スマートフォン・クラウドセキュリティ研究会」（総

務省）において中間取りまとめを公表し、その内容を踏まえスマートフォンの普及

に伴って発生する問題点等について利用者周知を行ったほか、技術的課題について

検討が行われ、最終報告が取りまとめられるなど、課題への対応が進んでいる。

クラウドコンピューティングについては、経済産業省において「クラウドサービ

ス利用のための情報セキュリティマネジメントガイドライン」を策定するとともに、

国際標準化案として ISO/IEC JTC 1/SC27 の会議へ提出し議論を実施したほか、目標

とされた技術開発や研究開発が進展するなど、対応が進んでいる。

IPv6 については、IPv6 普及・高度化推進協議会において官民共同でセキュリティ

上の技術的課題の検証が行われ、「IPv6 対応セキュリティガイドライン」として取

りまとめられた。また、IPv6 接続サービス提供状況に関するホームページ上の情報

提供も開始されており対応が進んでいる。SNS については、なりすまし防止を含む

情報セキュリティ確保策の検討が行われており、目標とされた課題への対応が進ん

でいる。今後、その結果が早期に利用者周知されることが期待される。

マルウェア対策については、サイバー攻撃停止のための枠組みの構築に向けた取

組が進展するとともに、脆弱性情報やインシデント事例情報、マルウェア検体解析

情報等の共有が進んでいる。また、検体解析、ソフトウェアの脆弱性対策も進展し

た。ただし、リバースエンジニアリングの適法性明確化措置については、検討が進

められたものの法改正には至っていない。また、2011 年度には標的型サイバー攻撃

事例が多数表面化しており、2012 年度にはマルウェア対策等の取組を更に加速度的

１１

に進める必要性が生じている。

【課題】

目標とされた課題の多くについて着実に対応が進展しているが、スマートフォン

の極めて急速な普及、標的型サイバー攻撃の深刻化等を踏まえ、対策のより一層の

強化が必要となっている。

スマートフォンについては、更なる普及啓発とともに、技術的課題の検討を踏ま

えた具体的対策の展開が急務である。

クラウドコンピューティングについては、これまで取り組まれてきた利用者側

の情報セキュリティ対策に加え、データ保護・サービス品質等に関する責任主体の

明確化や、セキュリティ要件に係る管理基準等、クラウド事業者側の情報セキュリ

ティ管理指針についても検討が求められる。また、今後作成される国際規格と、我

が国の基準やガイドライン等の整合性がとられることが望まれる。

マルウェア対策については、技術的な対応策の検討を更に推進するほか、標的型サ

イバー攻撃事例が多数表面化していることを踏まえ、官民連係による情報共有を強

化する必要がある。

⑤ 内閣官房情報セキュリティセンターの機能強化

【総評】

情報セキュリティに関する技術的知見やノウハウ等を有する者を民間企業等から

積極的に登用し情報の収集、共有、分析等の能力を充実させ、各府省庁に対する情

報セキュリティ・コンサルティング機能の充実を図ったほか、情報セキュリティ政

策の推進において関係機関等と連携しており、NISC の専門性の向上と連携の強化が

進んでいる。

【課題】

昨秋の政府機関等に対する標的型攻撃を受けて、情報セキュリティの確保に関す

る官民連携を強化することとし、NISC がその結節点となることとされたことなどを

踏まえ、引き続き上記の能力及び情報セキュリティ・コンサルティング機能の充実

並びに関係機関等との連携強化を着実に進める必要がある。

（２）国民・利用者保護の強化

① 普及・啓発活動の充実・強化

１２

【総評】

「情報セキュリティ普及・啓発プログラム」に基づく普及啓発については、「情報

セキュリティ月間」においてブロック別イベントの開催、情報セキュリティ啓発番

組の作成等を行ったほか、個人を対象とした情報セキュリティに関する自己診断チ

ェックリストの作成に向けた検討、企業経営層の情報セキュリティに対する理解の

促進に向けた当面の課題等の検討が行われるなど、充実・強化が進んでいる。

「普及啓発・人材育成専門委員会」及び「普及啓発・人材育成推進方策検討ワー

キンググループ」が 2011 年に設置され、情報セキュリティ月間等官民連携プロジェ

クトの推進方策の検討等が行われており、普及啓発に係る司令塔機能が明確にされ

ている。

普及啓発に関する国際連携については、2011年11月に開催された第４回日・ASEAN

情報セキュリティ政策会議において、日・ASEAN 共同の意識啓発週間のスローガン

等が決定されるなど、取組が進んでいる。

一方、情報セキュリティの脅威に対する意識調査においては、個々の脅威に対す

る認知度が上がっているにもかかわらず、未だに被害やトラブルの発生時に何をし

てよいか分からないなどの理由から対処しない者がいることが明らかとなっており、

情報セキュリティの具体的な周知の方法には課題が残っているといえる。

【課題】

目標とされた取組は着実に進ちょくしているが、被害やトラブル発生時に何をし

たらよいか分からないとする者が未だに存在している状況にあることなどを踏まえ、

情報セキュリティ対策の必要性や具体的な方法等に関して周知の対象者が直面する

可能性のある事例を挙げて説明するなど、情報通信技術の利用主体の属性に応じた

きめの細かい普及啓発を推進する必要がある。

② 情報セキュリティ安心窓口（仮称）の検討

【総評】

情報セキュリティに係る相談窓口については、「情報セキュリティ安心相談窓口」

の運用や情報セキュリティ・サポーターの育成が行われ、また、ウェブサイトにお

ける窓口の紹介等の連携強化が進んでおり、充実に向けた取組が継続的に行われて

いるが、消費者に対する窓口相談対応力の強化の観点では一層の連携が望まれる状

況にある。

【課題】

既存の窓口の運用及び情報セキュリティ・サポーターの育成・活用を引き続き行

１３

うとともに、関係省庁の連携をさらに強化していく必要がある。

③ 個人情報保護の推進

【総評】

個人情報保護法の見直しについては、消費者委員会個人情報保護専門調査会にお

いて「個人情報保護専門調査会報告書」が取りまとめられて消費者委員会へ報告さ

れ、今後の主な検討課題が抽出されるなど検討が進められた。国際的なフレームワ

ークの対応については、個人情報の国際的な流通が適切かつ安全な形で行われるこ

とを促進するために、APEC7等の国際的な取組を把握・分析し、APEC 越境プライバ

シー執行のための協力取決めに加入したほか、国際的な会合への出席等を通じ、我

が国の個人情報保護関連法制について国際的な理解を求めた。

今後も引き続き、消費者委員会において個人情報保護法の問題点について検討を

行うとともに、活発に行われる国際的な取組に関して、積極的な参画及び我が国制

度の理解の醸成が必要である。

【課題】

現在、議論が行われている APEC や OECD8等を通じた個人情報等の保護に関する国

際的な取組に対する継続的な関与が必要である。

④ サイバー犯罪に対する態勢の強化

【総評】

サイバー犯罪の取締りについては、地方警察官の増員、資機材の更新・増強、警

察職員に対する教育訓練等の実施、国際会議等を通じた海外の捜査機関との連携強

化、官民連携の強化等が行われており、基盤整備に向けた取組が着実に進んでいる。

サイバー犯罪の抑止については、教育機関、行政機関、企業、国民等を対象にし

た講習を情報セキュリティ月間に重点的に実施するなど、サイバー空間における規

範意識の醸成に向けて広報啓発を推進するとともに、事業者等と連携してサイバー

犯罪防止対策を推進するなど、取組が着実に進んでいる。

【課題】

7 Asia-Pacific Economic Cooperation：アジア太平洋経済協力。 8 Organisation for Economic Co-operation and Development：経済協力開発機構。

１４

目標とされた課題の多くについて着実に対応が進展しているが、スマートフォン

やタブレット端末等の進展の目覚ましい情報通信技術・サービスや、一層複雑・巧

妙化するサイバー犯罪に的確に対応できるように、対策のより一層の強化が必要と

なっている。

サイバー犯罪の取締りのための基盤整備を推進するため、引き続き、取締りのた

めの態勢を強化するほか、サイバー犯罪捜査における事後追跡可能性の確保等につ

いて、官民連携した取組を強化する必要がある。

サイバー犯罪の抑止のため、引き続き、効果的手法による広報・講習を継続実施

するとともに、サイバー防犯ボランティアの活動に資する取組の推進や、サイバー

犯罪防止対策の官民連携した取組を強化する必要がある。

（３）国際連携の強化

【総評】

二国間関係の強化については、米国、ASEAN、欧州諸国等との協議の実施、アジ

ア太平洋地域における研修の実施、同地域の CSIRT9の構築・運用、体制強化の支援

等により、サイバー攻撃等国境を越えた情報セキュリティ上の脅威に対する国際連

携の強化が進んでいる。特に ASEAN 諸国とは、日・ASEAN 情報セキュリティ政策会

議において、意識啓発教材の提供や人材育成を含む、共同の意識啓発取組を行うこ

とで合意に達するなど、協力関係の強化が進んだ。

重要インフラに関する会合である MERIDIAN10、環太平洋地域における協力に関す

るフォーラムである APEC 等の国際会合への参画、ITU11・ISO12/IEC13等への出席を通

じた情報セキュリティ分野での国際標準化への参画を通じて、情報共有体制等の強

化が図られた。

2011 年度は新たにサイバー空間に関する国際的な議論が活発化した。「サイバー

空間に関するロンドン会議」（2011 年 11 月）では、インターネットの経済的・社会

的恩恵を維持し、サイバー空間における犯罪や、安全保障上の脅威からいかに身を

護るべきかという問題等について議論が行われるなど、将来のサイバー空間に関す

る国際的なコンセンサス獲得や、行動規範の作成に関する国際的な対話が行われた。

本会議は、2012 年度以降フォローアップ会合が開催されることが発表されており、

9 Computer Security Incident Response Team：コンピュータセキュリティに係るインシデ

ントに対処するための組織の総称。 10 重要情報インフラ政策に携わる政府機関同士が、どのようにして協働することができる

かについて議論をするための枠組み。 11 International Telecommunication Union：国際電気通信連合。 12 International Organization for Standardization：国際標準化機構。 13 International Electrotechnical Commission：国際電気標準会議。

１５

今後国際的な対話の活発化が予想される。

【課題】

継続的に連携の強化が推進されている米国、ASEAN に加え欧州諸国等との二国間

連携や多国間連携の強化を図るとともに、サイバー空間に関する議論に対して、上

記フォローアップ会合やその他会合への参画を通じた国際的な対話の促進が必要

である。

（４）技術戦略の推進等

① 情報セキュリティ関連の研究開発の戦略的推進等

【総評】

「情報セキュリティ研究開発戦略」を策定し、戦略に基づく重要分野における取

組を推進するために、2012 年３月、「平成 23 年度情報セキュリティ産業の活性化方

策に係る調査報告書」として、各重要分野における研究開発ロードマップの詳細化

を取りまとめており、研究開発を体系的に進めるための取組が行われている。

データを暗号化したままで検索処理等を可能とする技術等、クラウドの安心・安

全な利用を実現する情報セキュリティ技術の研究開発が推進され、社会を支える基

盤等につながる研究開発が進んでいる。

ネットワーク等の安全性・信頼性確保、情報通信構成要素の安全性、サイバーセ

キュリティ研究テストベッド等の研究が進められ、安全・安心で、新しい価値を創

造できる情報通信システムの実現のための「ゲーム・チェンジ」等につながる研究

開発が進んでいる。また、新世代ネットワーク基盤技術や量子情報通信ネットワー

ク技術の研究開発が進められるなど、能動的で信頼性の高い（ディペンダブルな）

情報セキュリティに関する長期的な取組が進んでいる。

【課題】

「情報セキュリティ研究開発戦略」に基づく重要分野について、「平成 23 年度情

報セキュリティ産業の活性化方策に係る調査報告書」で取りまとめた研究開発ロー

ドマップの実用化に向けて、産学官の知見及びノウハウの共有と活用等、具体的対

策の展開が必要である。

② 情報セキュリティ人材の育成

【総評】

１６

情報セキュリティ政策会議の下に、普及・啓発人材育成専門委員会を 2011 年７月

に設置し、同委員会において、「情報セキュリティ人材育成プログラム」の進ちょく

状況をフォローアップするとともに、同プログラムを踏まえた当面の課題等を「情

報セキュリティ人材育成プログラムを踏まえた 2012 年度以降の当面の課題等につ

いて」として取りまとめた。また、情報セキュリティ専門家等の育成の促進、情報

セキュリティ人材育成に係る枠組みの検討、及び情報セキュリティ資格の周知等の

取組が着実に進められており、情報セキュリティ人材の育成は着実に推進されてい

る。

一方、近年の情報セキュリティを取り巻く環境の変化に伴う情報セキュリティリ

スクは極めて広範かつ多岐にわたっており、2012 年度は、本年度取りまとめた当面

の課題等に対する対応を確実に実施することが求められる。

【課題】

「情報セキュリティ人材育成プログラムを踏まえた 2012 年度以降の当面の課題等

について」において提言された施策を着実に推進していくとともに、情報セキュリ

ティ専門家等の育成の促進、情報セキュリティ人材育成に係る枠組みの検討及び情

報セキュリティ資格の周知等の取組を引き続き実施する必要がある。

③ 情報セキュリティガバナンスの確立

【総評】

企業間で情報セキュリティに関する情報共有を可能にするスキームとして「情報

セキュリティガバナンス協議会」が発足したほか、東日本大震災の影響や

ISO/IEC2703114の内容を踏まえたITサービス継続マネージメントガイドラインの改

定が行われるなど、企業における情報セキュリティ対策を向上させるための支援が

行われており、情報セキュリティガバナンスを確立するための支援活動が促進され

ているところである。対処療法的な対応ではなく、リスク管理の観点から情報リス

クを適切に管理するためには、情報セキュリティガバナンスの実践は重要なアクシ

ョンの一つであり、引き続き情報セキュリティガバナンスの普及啓発や導入支援を

進めることが求められる。

【課題】

企業間で情報セキュリティに関する情報共有を可能にするスキームとして「情報

セキュリティガバナンス協議会」が発足したところである。今後は、効果的な情報

14 事業連続性のための情報通信技術準備。

１７

共有を行えるよう、情報リスクの管理に関する知見の共有等を進める必要がある。

また、普及啓発活動の推進等、企業の情報セキュリティガバナンス確立に要する負

担の軽減に資するための導入支援が引き続き求められる。

（５）情報セキュリティに関する制度整備

【総評】

情報処理の高度化等に対処するための刑法等の一部を改正する法律（平成 23 年法律

第 74 号）が 2011 年６月に成立した。同法により刑法（明治 40 年法律第 45 号）、刑事

訴訟法（昭和 23 年法律第 131 号）等が改正され、不正指令電磁的記録に関する罪や接

続サーバ保管の自己作成データ等の差押え等の規定が新設されたほか、2012 年３月に

は、不正アクセス行為の禁止等に関する法律の一部を改正する法律（平成 24 年法律第

12 号）が公布されフィッシング行為等が禁止及び処罰の対象とされるなど、サイバー

犯罪に対処するための法整備が進んでいるところである。加えて、サイバー犯罪に有

効に対処するためには国際連携が重要であるところ、これらの法改正を受け、サイバ

ー犯罪に関する条約の締結に向けた作業が進められているなど、サイバー空間の安全

性・信頼性を向上させるための制度構築が着実に進んでいる。今後は、改正法令の適

切かつ効果的な運用を行うほか、情報セキュリティをめぐる環境変化に対応したサイ

バー空間の安全性・信頼性を向上させるための制度の調査・研究や国際連携に引き続

き取り組んでいく必要がある。

【課題】

改正された刑法、刑事訴訟法、不正アクセス行為の禁止等に関する法律（平成 11

年法律第 128 号）等の適切かつ効果的な運用やサイバー犯罪に関する条約の締結に向

けた作業の確実な実施を行うほか、情報セキュリティをめぐる環境変化に対応したサ

イバー空間の安全性・信頼性を向上させるための制度の調査・研究や国際連携に引き

続き取り組んでいくことが必要である。

１８

３東日本大震災を踏まえた情報セキュリティ政策

（１）災害時に強靭な情報通信システムの構築

【総評】

政府機関における対策としては、NISC において実施した「東日本大震災における政府

機関等の情報システムに対する被災状況の調査及び分析」により、政府機関において情

報システム運用継続のために行うべき緊急対策、優先的に取り組むべき対策、中長期的

対策等の課題が示された。これらの東日本大震災で明らかとなった課題については、「政

府機関の情報セキュリティ対策のための統一基準群」（平成 24 年度版）に反映されると

ともに、これらの課題を踏まえて「中央省庁における情報システム運用継続計画ガイド

ライン」の改定が行われた。また、2011 年度には各府省庁において情報システム運用継

続計画の策定が行われており、災害時に強靭な情報通信システムの構築に向けた取組は

着実に進んでいると評価される。今後は、「東日本大震災における政府機関等の情報シス

テムに対する被災状況の調査及び分析」で示された対策を着実に実施していくとともに、

各府省庁において情報システム運用継続計画を着実に見直していくことが求められる。

重要インフラ分野においては、共通脅威分析において、既往調査で検証した重要イン

フラ間の相互依存性について、東日本大震災における各インフラ間の被害の連鎖状況を

踏まえて再検証を実施した結果、新たな相互依存性が確認されており、環境変化に伴い

重要インフラ間の相互依存性に変化が生じているものと考えられる。

大災害発生直後の情報通信システムの在り方及び耐災害性の向上については、NISC に

おいて実施した「耐災害性を強化した情報システムの在り方等に関する調査」により、

情報システムの耐災害性を強化するために必要な要件を検討し、取りまとめられている。

【課題】

政府機関における情報システム運用継続のために行うべき対策の実施や情報システム

運用継続計画の見直し、重要インフラ分野の環境変化に応じた相互依存性の再検証、「情

報セキュリティ研究開発戦略」の推進、及び耐災害性を強化するために必要な要件に対

するセキュリティ機能の調査検討を引き続き実施していく必要がある。

（２）「リスク・マネジメント」、「リスク・コミュニケーション」の確立

【総評】

政府機関及び重要インフラ事業者における震災時の情報システムにおける影響や、震

災時に取り組むべき対策、リスク・マネジメントの在り方等について調査・分析等が行

われるなど、東日本大震災を踏まえた今後の大規模災害時における安全性・信頼性向上

に向けた取組が進められている。また、重要インフラ事業者や関係機関において震災か

ら得られた知見等について意見交換が行われるなど、ＩＴシステムの障害に関するリス

１９

ク・コミュニケーションが図られている。

【課題】

震災関連の調査・分析等によって得られた知見・教訓を「安全基準等」対策指針等へ

速やかに反映することが必要である。

（３）情報システム全体の「ニュー・ディペンダビリティ」の確保

【総評】

情報システム全体の「ニュー・ディペンダビリティ」の確保に向けては、「情報セキュ

リティ研究開発戦略」に記載されている耐災害性の高い情報システムの実現に向けた研

究開発が着実に推進された。

個別に取り組むこととされたテーマについても、システムのセキュリティ設定を上位

から下位まで自動保証する技術においてリスクを可視化するフレームワークの確立、多

彩なネットワークサービスを収容するプラットフォーム構成技術の開発等において、

各々の課題に対する検討が進んでいる。

【課題】

「情報セキュリティ研究開発戦略」に基づき、個別の研究テーマを推進するとともに、

情報通信システムの耐災害性を強化するために必要な要件に対して、「耐災害性を強化し

た情報システムの在り方等に関する調査」で整理したセキュリティ機能の検討を進める

必要がある。

　　　　「情報セキュリティ2011」に盛り込まれた施策の実施

　　　　状況

Ⅳ　具体的な取組み

１　大規模サイバー攻撃事態への対処態勢の整備等

（１）対処態勢の整備

ア　大規模サイバー攻撃事態における政府の初動対処態勢の整備

該当項目施策名担当省庁進捗状況

（ア）大規模サイバー攻撃事態等発生時の初動対処に係る訓練の実施等

内閣官房及び関係府省庁

・2012年３月、大規模サイバー攻撃事態等が発生した際に政府及び関係機関が迅速かつ適切な初動対処を行うための態勢を整備するため、重要インフラ事業者がサイバー攻撃を受けたとの想定に基づく大規模サイバー攻撃事態等対処訓練を実施した。

（イ）情報分析態勢の整備等内閣官房・2012年３月、大規模サイバー攻撃事態等対処訓練を実施し、大規模サイバー攻撃事態等の発生時における情報分析態勢を確認した。

（ウ）サイバー攻撃に係る脅威・手法分析の推進


・サイバー攻撃事態発生時における適切な対処態勢の構築を図るため、標的型メール攻撃に関する不正プログラムの解析を行うなど、サイバー攻撃に係る脅威・手法の分析を推進した。

（エ）サイバーテロ対策に係る体制等の強化

警察庁・サイバーテロ対策に従事する警察職員を対象に、サイバー攻撃に関する知識・技能等の修得を行うための部内外における各種研修を実施した。

イ　官民連携の推進


（ア）重要インフラに対するサイバーテロ対策に係る官民の連携強化

警察庁・都道府県警察において、重要インフラ事業者等への個別訪問、サイバーテロ対策セミナー、サイバーテロ対策協議会、重要インフラ事業者等との共同訓練等を通じ、官民の連携強化を推進した。

（イ）サイバーインテリジェンス対策に係る官民の連携強化

警察庁・2011年８月、情報窃取の標的となるおそれのある全国約4,000の事業者等と「サイバーインテリジェンス情報共有ネットワーク」を構築するとともに、同月、ウイルス対策ソフト提供事業者等と「サイバーインテリジェンス対策のための不正プログラム対策協議会」を設置し、官民の連携強化を推進した。

（ウ）サイバー攻撃（インシデント）対応調整支援

経済産業省・被害の発生及び拡大抑止のための関係者間調整を実施した（インシデント件数2,490件：2012年２月末現在）。そのうち、重要インフラ事業者を主な対象としたインシデントに関する対応支援は43件であった。

（エ）新しい脅威・攻撃の分析経済産業省・IPA主催の研究会「脅威と対策研究会」において、「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」及び同改訂２版を発行した。同ガイドでは新しいタイプの攻撃に対する設計・対策、攻撃手法の分類、適切な対応方針等を記載している。

ウ　サイバー攻撃に対する防衛分野での体制の強化


別添１

別添１－1

（ア）サイバー防護専門部隊の新編に向けた準備体制の整備

防衛省・サイバー防護専門部隊の新編に向けた所要の要員を配置するため、2011年度末に新編準備要員を確保した。

（イ）サイバー防護分析装置の運用開始

防衛省・分析機能の強化、情報共有能力の強化、対処演習機能の追加等を行った新たなサイバー防護分析装置を導入し、2012年３月から運用を開始した。

（ウ）サイバー攻撃等に係る分析・対処及び研究の推進

防衛省・防衛省の保有する情報システムに対するサイバー攻撃等に関する脅威／影響度の分析・対処能力を更に向上させるために研究試作を行ったネットワークセキュリティ分析装置について、2010年度に引き続き性能確認試験を実施した。また、サイバー攻撃を検知するための研究及びマルウェアの挙動解析研究を2010年度に引き続き実施した。

（エ）情報保証に係る新技術動向等の調査研究

防衛省・2010年度に引き続き、情報システムの情報保証を確保するため、サイバー攻撃及びサイバー攻撃対処等に係る新技術動向及び防衛省へのデジタル・フォレンジックの導入要領等について調査を実施し、調査結果を踏まえ、防衛省でのサイバー攻撃等対処訓練、対処器材の機能拡充及び態勢強化の資とする内容を含む報告書を取りまとめた。

（オ）サイバー攻撃等対処に向けた人材育成の取組

防衛省・防衛大学校においてネットワークセキュリティ分野の教育・研究体制を強化するために必要な規則等の整備を行い、2011年度に教授１名を増員した(2012年１月採用)。

エ　サイバー犯罪の取締り


（ア）デジタルフォレンジックに係る取組の推進

警察庁・サイバー犯罪捜査に従事する警察職員に対し、電磁的記録の解析等に係る研修を実施した。・デジタルフォレンジック用資機材を増強した。・2011年12月、関係機関が参加するデジタルフォレンジック連絡会を開催した。・電子機器等の製造業者を始めとする企業との技術協力を推進した。

別添１－2

（イ）サイバー犯罪の取締りのための国際連携の推進

警察庁・2011年10月及び2012年２月、G8ローマ／リヨン・グループに置かれたハイテク犯罪サブグループ会合に出席。国際的なサイバー犯罪対策プロジェクトを実施するとともに、外国捜査機関職員との情報交換、協力関係の確立等を積極的に推進した。・2011年11月、緊急時における国際捜査協力の効率性向上等を目的として開催されたG8ローマ／リヨン・グループ・ハイテク犯罪サブグループ24時間コンタクトポイント訓練会合に出席した。・2011年11月、サイバー空間に関するロンドン会議に出席した。・2011年12月、ICPOアジア南太平洋IT犯罪作業部会会合に出席した。・外国が関係するサイバー犯罪捜査に関し、ICPO、刑事共助条約等の枠組みに加え、G8ローマ／リヨン・グループ・ハイテク犯罪サブグループが設置している24時間コンタクトポイント（2012年２月現在、60の国及び地域が参加）を活用し、外国捜査機関等への捜査共助要請等を実施した。・サイバー犯罪の取締りに関する技術情報を共有し、アジア大洋州地域の治安機関の相互の技術水準の向上を図ることを目的として、CTINSを運用した（2012年３月現在、14の国・地域が参加）。

別添１－3

オ　サイバー攻撃への対処に係る国際連携の強化


（ア）サイバー攻撃等に関する諸外国等との情報共有体制の構築・強化


・NATOサイバー防衛センター（CCDCOE）主催国際会議（2011年６月エストニア）等における情報交換を通じ、サイバー攻撃の攻撃主体・方法等の対処に資する情報収集・分析を実施した。

（イ）国際会議等への参加を通じた連携の強化


・FIRST年次会合(2011年６月オーストリア)に参加する等国際連携枠組みを通じて、諸外国との連携強化を推進した。

（ウ）サイバーテロに関する諸外国関係機関との連携の強化

警察庁及び法務省

・警察庁において、諸外国関係機関との情報交換を行うなど、サイバー攻撃の主体・方法等に関する情報収集・分析を継続的に実施した。・公安調査庁において、諸外国関係機関との情報交換を行うなどして、サイバー攻撃の主体・方法等に関する情報収集・分析を継続的に実施している。

別添１－4

　　Ⅳ　具体的な取組み

１　大規模サイバー攻撃事態への対処態勢の整備等

（２）平素からの情報収集・共有体制の構築強化

ア　対処に資する情報の収集・分析・共有体制の強化


（ア）サイバー攻撃事態への対処に資する情報の集約・共有の充実

内閣官房及び全府省庁

・2010年12月の情報セキュリティ対策推進会議・危機管理関係省庁連絡会議合同会議における申合せに基づき、情報の集約・共有を実施しているほか、警察庁の「サイバーインテリジェンス情報共有ネットワーク」との間における情報共有を行っている。

（イ）各政府機関における緊急対応体制の強化支援

内閣官房・内閣官房において、政府機関に対するサイバー攻撃等に関する全般的な傾向や情勢について分析を行い、各政府機関に対して当該分析結果を提供するとともに、個々の対策に必要となる攻撃手法の分析結果等の情報提供を実施した。

（ウ）「重要インフラの情報セキュリティに係る第２次行動計画」に基づく情報共有体制による情報収集、情報共有の実施

内閣官房・重要インフラ事業者に対するサイバー攻撃に係る情報について、「重要インフラの情報セキュリティ対策に係る第２次行動計画」に基づく情報共有体制により、重要インフラ所管省庁、関係機関等との情報連絡、情報提供を着実に推進した。

（エ）サイバーテロの予兆の早期把握と情報収集・分析の強化


・警察庁において、サイバー攻撃手法に関する知識・技能の修得を目的とした民間委託研修を実施するなど、サイバー空間におけるテロの予兆等の早期把握を可能とする態勢の整備を進めた。・公安調査庁において、公安調査官を対象に各種研修を実施する等、サイバー空間におけるテロの予兆等の早期把握を可能とする態勢の整備を進めた。

（オ）サイバーテロ対策に係る態勢等の強化【再掲：１（１）ア】

警察庁

イ　サイバー攻撃等に関する諸外国等との情報共有体制の構築・強化


（ア）諸外国の関係機関等とのサイバー攻撃に係る情報の共有を通じた対処能力の向上


・諸外国の関係機関等との意見交換を行うなどして、サイバー攻撃の主体・方法等に資する情報の共有を進めて対処能力の向上を図った。

（イ）サイバーテロに関する諸外国関係機関との連携の強化【再掲：１（１）オ】


別添１－5




① 政府機関等の基盤強化

ア　政府横断的な情報収集・分析システム（GSOC）の充実・強化


（ア）ａ）政府横断的な情報収集・分析システム（GSOC）の充実・強化

・内閣官房において、政府機関に対するサイバー攻撃等に関する情報収集の強化のため、引き続き、関係機関との連携強化を進めるとともに、分析・解析能力の強化や分析結果等の情報共有を進める取組を実施した。

（ア）ｂ）政府横断的な情報収集・分析システム（GSOC）の充実・強化

・内閣官房は全府省庁等の協力を得て、2012年１月に緊急時の連絡体制の確認訓練を実施した。

イ　最高情報セキュリティ責任者（CISO）の機能強化


（ア）ａ）情報セキュリティガバナンスの高度化に向けた取組

・内閣官房において、2011年度に情報セキュリティ対策推進会議を計３回開催した。・各府省庁において、上記会議に参画し、2010年度の政府機関における情報セキュリティに係る年次報告や官民連携の強化のための分科会における検討結果の審議等を行った。

（ア）ｂ）情報セキュリティガバナンスの高度化に向けた取組

・内閣官房において、2011年度に高情報セキュリティアドバイザー会議を計５回開催し、専門的知見に基づき、各府省庁の取組の高度化のための議論や助言等を行った。・各府省庁において、上記会議に参画し、議論・審議等を行った。

（イ）ａ）「情報セキュリティに係る年次報告書」（情報セキュリティ報告書）に係る取組の推進

・各府省庁において、2011年度の情報セキュリティ報告書を作成し、公表を行った。・外部監査については、各府省庁のCISOの判断に基づき、積極的に活用する。

（イ）ｂ）「情報セキュリティに係る年次報告書」（情報セキュリティ報告書）に係る取組の推進

・内閣官房において、2012年5月に開催された高情報セキュリティアドバイザー等連絡会

議において、全ての府省庁の情報セキュリティ報告書について、比較・評価等を実施するとともに、優れた取組については、推奨事例候補として選出することにより、知見の共有やフィードバックを行った。・各府省庁において、情報セキュリティ対策推進会議の場において報告した後、全ての府省庁で公表を行った。

（イ）ｃ）「情報セキュリティに係る年次報告書」（情報セキュリティ報告書）に係る取組の推進

・内閣官房において、これまでの対策状況や検査の結果を踏まえ、効果的かつ効率的な対策実施状況報告及び重点検査を行う観点から、対策実施状況報告の点検項目の重点化や重点検査における調査項目の集約化等を行い、各府省庁へ提示した。

（イ）ｄ）「情報セキュリティに係る年次報告書」（情報セキュリティ報告書）に係る取組の推進

・内閣官房において、「政府機関における情報セキュリティに係る年次報告（2011年度）」を作成。情報セキュリティ対策推進会議で決定後、公表を行うとともに、情報セキュリティ政策会議に報告を行った。




別添１－6

（ウ）内閣官房及び各府省情報化統括責任者（CIO）補佐官等の連携強化

内閣官房、総務省及び全府省庁

・内閣官房及び総務省において、各府省情報化統括責任者(CIO)補佐官等連絡会議第４ワーキンググループ（情報セキュリティ）等の場において、高情報セキュリティアドバイザー等連絡会議の議題に係る意見交換を行う等して、連携を強化した。

ウ　政府機関情報システムの効率的・継続的な情報セキュリティ対策の向上


（ア）ａ）政府機関の情報システムの効率的・継続的なセキュリティ向上

・各府省庁において、策定したサーバ集約化計画に基づき、情報システムのスリム化や運用効率化を推進した。

（ア）ｂ）政府機関の情報システムの効率的・継続的なセキュリティ向上

・内閣官房において、重点検査の実施により各府省庁における公開ウェブサーバ及び電子メールサーバの台数を把握するとともに、その結果について「政府機関における情報セキュリティに係る年次報告」に記載し、情報セキュリティ政策会議に報告を行った。

（イ）公開ウェブサーバに対する脆弱性検査の実施


・内閣官房において、検査を希望する11府省庁の公開ウェブサーバについて、約330画面をサンプル抽出し脆弱性検査を実施。検査結果について、高情報セキュリティアドバイザー等連絡会議において、各府省庁等で情報を共有するとともに、情報セキュリティ政策会議及び情報セキュリティ対策推進会議に報告し、成果を公表した。さらに、危険度の高い脆弱性については、対策方法等に関する注意喚起を各府省庁等に発出した。

（ウ）標的型メール攻撃に係る教育訓練の実施


・内閣官房において、2011年10月～12月に、12の政府機関・約６万人の職員を対象に、標的型メール攻撃に係る教育訓練を実施し、参加機関毎に報告書を作成して結果のフィードバックを行った。得られた知見については、

高情報セキュリティアドバイザー等連絡会議への報告や、NISC勉強会における車座フリートークに活用し、政府機関内で横断的に情報共有を行うとともに、訓練結果について、情報セキュリティ政策会議及び情報セキュリティ対策推進会議に報告し、成果を公表した。また、参加機関から提出された対策実施状況報告と本訓練の結果を比較・評価し、得られた考察等を年次報告に反映するとともに、次年度の教育訓練の改善及び対策実施状況報告に反映させていく予定。

（エ）ａ）政府機関における業務継続能力の強化

・各府省庁において、「中央省庁における情報システム運用継続計画ガイドライン」を活用し、2011年度末までに必要な情報システムについて運用を継続するために必要な計画の策定を行った。

（エ）ｂ）政府機関における業務継続能力の強化

・内閣官房において、東日本大震災による政府機関の情報システムへの影響を調査・分析し、優先的に取り組むべき対策等を盛り込んだ報告書を作成し、各府省庁に提供を行うとともに、有識者による検討及び終報告を踏まえ、ガイドラインの改定を行った。

（エ）ｃ）政府機関における業務継続能力の強化

・内閣官房において、各府省庁の情報システム運用継続計画に係る対策レベルの維持・継続的改善に向け、当該計画の評価手法について検討を行った。



別添１－7

（オ）政府機関における適切な物理的セキュリティ対策の検討

内閣官房・内閣官房において、民間事業者等における先進的事例等を調査し、各府省庁における適切な情報の取扱いの区域に係るセキュリティ対策の在り方を検討し、政府機関統一基準群の見直しへ反映を行った。

（カ）ａ）「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」の推進

・内閣官房及び全府省庁において、2011年度に「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」の対象となった２手続について、本ガイドラインに基づき導出したリスク評価及び保証レベルの総合的な妥当性を確保するため、高情報セキュリティアドバイザー等連絡会議の場において、専門的知見を有する者からの助言等を受けるとともに、業務・システム適化に係るものは、計画の実施状況について、CIO連絡会議に報告を行った。

（カ）ｂ）「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」の推進

・内閣官房において、有識者との意見交換等を踏まえ、証跡管理について、その有効性についての整理及び政府機関における適切な管理の在り方の検討を行った。

（キ）政府全体での情報共有の強化内閣官房及び全府省庁

・内閣官房において、公開ウェブサーバに対する脆弱性検査、標的型メール攻撃に係る教育訓練等の実施結果やネットワーク利用者を管理するサーバのセキュリティ対策に係る注意喚起等の技術情報について情報共有を行った。また、各府省庁が参加する高情報セキュリティアドバイザー等連絡会議において、各府省庁における対応策や得られた知見の共有を行った。・内閣官房において、政府機関における情報セキュリティ関係職員を対象とする勉強会を６回開催した。各府省庁が参加し、関係職員の知見の向上を図るとともに、2012年２月には勉強会において各府省庁と対応策等を検討・共有する場を設け、共同して課題の解決に取り組んだ。

（ク）特別管理秘密を取り扱うシステムに係る情報セキュリティ対策


・2011年12月に開催された第９回カウンターインテリジェンス推進会議において、特別管理秘密の管理状況を重層的にチェックする仕組みの構築及び実施について決定された。

（ケ）特に機密性の高い情報を取り扱う政府機関の情報保全システムの強化に向けた取組の推進


・特に機密性の高い情報を取り扱う政府機関の情報保全システムの強化を図るため、2011年７月開催の第２回政府における情報保全に関する検討委員会における決定事項に基づいて取組を推進した。

（コ）ａ）政府職員に対する教育・意識啓発の推進

・内閣官房において、総務省が開催する情報システム統一研修について、各コースに関連する情報セキュリティに係る事項を整理した。その結果に基づいて既存の教材を見直し情報セキュリティに係る内容を充実した。

（コ）ｂ）政府職員に対する教育・意識啓発の推進

・人事院が実施する各府省庁の新規採用職員を対象とした研修において、情報セキュリティの必要性に係る啓発を行っている。・内閣官房において、上記研修向けに教育教材を提供した。

（コ）ｃ）政府職員に対する教育・意識啓発の推進

・内閣官房において、情報セキュリティ対策上の役割に応じた教育教材の雛型を作成・配付した。

（コ）ｄ）政府職員に対する教育・意識啓発の推進

・各府省庁において、電子政府利用促進週間、情報セキュリティ月間等の機会をとらえた意識啓発を実施した。

内閣官房、人事院、総務省及び全府省庁


別添１－8

（サ）ａ）政府機関から発信する電子メールに係る成りすましの防止

・内閣官房において、各府省庁の保有するドメインについてDNSサーバにおけるSPFレコードの付与を呼びかけるなど推進活動を実施した。・各府省庁において、それぞれが管理するドメインについてDNSサーバにおけるSPFレコードの付与を実施した。

（サ）ｂ）政府機関から発信する電子メールに係る成りすましの防止

・迷惑メール対策推進協議会と協力し、各種業界団体に対して送信ドメイン認証技術等迷惑メール対策技術の導入を推進するための説明会を16回開催した。また、各種業界団体の広報誌等に送信ドメイン認証技術の導入を推進するための解説記事を７回寄稿するなどした。

（シ）ａ）政府機関のドメイン名であることが保証されるドメイン名の使用の推進

・内閣官房において、各府省庁が国民に対して情報の発信を行う際に利用するドメインが政府ドメイン名ではないことを発見した場合に、当該ドメインを保有する府省庁に対して改善を要求した。

（シ）ｂ）政府機関のドメイン名であることが保証されるドメイン名の使用の推進

・各府省庁において、政府機関であることが保証される『GO.JP』ドメイン名の利用を推進した。

エ　政府機関における安全な暗号利用の推進


（ア）ａ）政府機関における安全な暗号利用の推進

・総務省及び経済産業省において、電子政府推奨暗号の監視、当該暗号の安全性及び信頼性確保のための調査等を実施した。2012年３月に2011年度の検討結果を取りまとめた。

（ア）ｂ）政府機関における安全な暗号利用の推進

・総務省及び経済産業省において、電子政府推奨暗号リストの改訂に向け、現在の電子政府推奨暗号リストに掲載されている暗号アルゴリズムと、2009年度に応募があった暗号アルゴリズムの安全性評価及び実装性能評価を行った。

（ア）ｃ）政府機関における安全な暗号利用の推進

・総務省及び経済産業省において、暗号技術検討会での対応方針と内閣官房への情報提供の流れなどについて策定し、監視等により得られた情報の共有に努めている。・新のスーパーコンピュータの性能を加味して、RSA-1024に関する安全性について検討を行い、移行指針に変更が生じないことを確認した。

（ア）ｄ）政府機関における安全な暗号利用の推進

・内閣官房において、暗号技術検討会における議論を踏まえ、緊急避難的な対応に係る発動要件について検討を行い、CISO等連絡会議において当該要件の決定を行うために必要な準備を実施した。

（ア）ｅ）政府機関における安全な暗号利用の推進

・各府省庁において、2011年度も引き続き、同移行指針に基づき、それぞれで保有する情報システムについてより安全な暗号アルゴリズムへの移行を着実に実施した。

（ア）ｆ）政府機関における安全な暗号利用の推進

・内閣官房において、各府省庁における同移行指針への対応状況を把握して、新たな暗号アルゴリズムへの切替え開始時期までに、各情報システムを同移行指針の規定する要件に適合させるよう促した。


内閣官房、総務省、経済産業省及び全府省庁


別添１－9

（イ）安全性・信頼性の高い暗号モジュールの利用推進

内閣官房、経済産業省及び全府省庁

・各府省庁において、2011年度も引き続き暗号モジュール試験及び認証制度に基づく認証を推進するとともに、暗号モジュールを調達する際には、必要に応じて、同制度により認証された製品等を優先的に取り扱った。・安全性・信頼性の高い暗号モジュールの利用推進を図るため、NISTとIPA間で暗号モジュールの共同認証の実施で合意した。また共同認証第一号として３件の認証を完了した。

オ　クラウドコンピューティングにおける情報セキュリティの確保等


（ア）新たな技術に対する情報セキュリティ対策の強化

内閣官房及び総務省

・総務省において、2012年度中の運用開始に向けて、政府共通プラットフォームの設計・構築を開始し、整備及び運用に係る検討を実施している。内閣官房においては、これまで蓄積した情報セキュリティ確保方策に係る専門的知見をもとに、総務省への情報提供等の必要な調整・支援を行った。・内閣官房において、クラウドコンピューティングに対応した「外部委託における情報セキュリティ対策実施規程」（政府機関統一基準群適用個別マニュアル）を整備し、公表した。

カ　政府機関の情報セキュリティ対策のための統一基準の見直し


（ア）政府機関統一基準群の適切かつ円滑な運用等に係る方策の検討

内閣官房・内閣官房において、基本遵守事項と強化遵守事項の一元化等により、情報セキュリティ対策の円滑な運用と実効性の向上等を図るため、「政府機関の情報セキュリティ対策のための統一基準群（平成24年度版）」の改定を実施した。・内閣官房において、各府省庁で保有する情報資産の範囲及びその取扱方法の明確化や、政府機関統一基準群上のリスク評価手法の具体化を図ることなどを目的に、政府機関におけるリスク・マネジメント手法の在り方の検討を行った。

（イ）政府機関統一基準群の見直しの実施

内閣官房・内閣官房において、東日本大震災の発生や標的型攻撃の増加、IPv6等の技術動向等、技術や環境の変化への対応を図るとともに、情報セキュリティ対策の円滑な運用と実効性の向上等を図るため、「政府機関の情報セキュリティ対策のための統一基準群（平成24年度版）」の改定を行った。

（ウ）情報セキュリティ対策に関連する独立行政法人等との連携の強化

内閣官房、総務省及び経済産業省

・独立行政法人情報通信研究機構（NICT）、独立行政法人産業技術総合研究所（AIST）及び独立行政法人情報処理推進機構（IPA)のそれぞれと内閣官房との間で締結している協力覚書に基づき、定期的な意見交換を実施し、情報セキュリティに関する研究者・実務家の技術的・専門的知見の共有を行うとともに、一部については高情報セキュリティアドバイザー等連絡会議への報告等の施策への反映を行った。

別添１－10

（エ）ａ）安全性・信頼性の高いIT製品等の利用推進

・内閣官房において、政府機関統一基準群の改定に際して、ITセキュリティ評価及び認証制度の部分に係る必要な見直しを実施した。・各府省庁において、2011年度も引き続きITセキュリティ評価及び認証制度により認証された製品等の優先的な取扱いを実施、又は検討した。

（エ）ｂ）安全性・信頼性の高いIT製品等の利用推進

・経済産業省の公表に基づきIPAが公開している「ITセキュリティ評価及び認証制度等に基づく認証取得製品リスト」を毎月更新することにより、政府機関等の制度の活用を促進した。

（オ）情報セキュリティに関連する法制度等との整合性確保

内閣官房、内閣府、総務省及び関係府省庁

・内閣官房において、政府機関統一基準群の改定に当たり、内閣府、総務省及び関係府省庁と協力の上、情報セキュリティと関連が深いと考えられる法令等との整合性の確保が図られるよう、各制度との整理・調整を実施した。

（カ）政府機関における安全な暗号利用の推進【再掲：２（１）①エ】

内閣官房、総務省、経済産業省及び全府省庁

（キ）安全性・信頼性の高い暗号モジュールの利用推進【再掲：２（１）①エ】


キ　政府機関情報システムに情報セキュリティ対策が適切に組み込まれる仕組みの構築


（ア）運用・管理を委託している情報システムの情報セキュリティ対策の強化

全府省庁・内閣官房において、クラウドコンピューティングに対応した「外部委託における情報セキュリティ対策実施規程」（政府機関統一基準群適用個別マニュアル）を整備して公表した。・内閣官房において、外部委託により構築・運用しているウェブサイトの情報セキュリティ対策に係る注意喚起を発出するとともに、ウェブサイトへの対策状況に係る緊急点検を実施した。・各府省庁において、政府機関統一基準群及びマニュアル等を踏まえ、政府機関外の組織に運用・管理を委託している情報システムについてのセキュリティ確保のための取組を進めた。

（イ）ａ）企画・設計段階からの情報セキュリティ対策の組込みについても意識するための方策の検討

・各府省庁において、情報システムに係る調達仕様書に必要なセキュリティ対策を確実に記載するため、「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」の活用に係る検討を行った。

（イ）ｂ）企画・設計段階からの情報セキュリティ対策の組込みについても意識するための方策の検討

・内閣官房において、「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」が情報システムに係る政府調達の一環として広く活用されるよう、各府省庁への普及・利用促進のための取組を行った。また、マニュアルの活用状況に関する各府省庁への確認や、利用者からの問い合せ対応、作業支援等を実施した。・内閣官房において、「情報システムに係る政府調達におけるセキュリティ要件におけるセキュリティ要件策定マニュアル」の活用又はそれと同等以上の検討結果が各府省庁の低限のセキュリティ対策水準となるよう、政府機関統一基準群の改定を行った。



別添１－11

（イ）ｃ）企画・設計段階からの情報セキュリティ対策の組込みについても意識するための方策の検討

・各府省庁において、「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」の活用状況等について、内閣官房への報告を行った。

（ウ）安全性・信頼性の高い暗号モジュールの利用推進【再掲：２（１）①エ】


（エ）「情報システムの信頼性向上に関するガイドライン」の活用・普及

経済産業省・「情報システムの信頼性向上に関するガイドライン」に準拠したSEC開発の信頼自己診断ツールについて、SODEC/ESEC/ET2011のパネル展示及びブース内プレゼンテーションを実施し普及に努めた。2012年３月、信頼性評価指標のデータ収集及び分析結果（2010年度調査）へ、指標改善ポイントを追加し公開した。

（オ）ａ）情報システム調達時等における情報セキュリティの確保の支援

・IPAにおいて、制度紹介セミナー及びST作成セミナーを開催した。また、政府機関統一基準群の改定等に関する説明会、CISO補佐官等連絡会議において制度の意義を説明し、関係者に利用を推進した。

（オ）ｂ）情報システム調達時等における情報セキュリティの確保の支援

・暗号モジュールの認証４件、暗号アルゴリズムの確認２件を完了した。

（オ）ｃ）情報システム調達時等における情報セキュリティの確保の支援

・IPA内に「MFD-CPP検討委員会」を新設し、デジタル複合機におけるCollaborativeProtection Profileの策定に向けた議論を実施した。

（カ）安全性・信頼性の高いIT製品等の利用推進【再掲：２（１）①カ】


ク　社会保障・税の共通番号制に対応した情報セキュリティ対策の検討


（ア）社会保障・税に関わる番号制度及び国民ID 制度に対応した情報セキュリティ対策の検討


・内閣官房において、個人情報保護ワーキンググループ及び情報連携基盤技術ワーキンググループを開催し、適切な個人情報保護対策及び情報セキュリティ対策に係る検討を行った。

ケ　地方公共団体、独立行政法人等における情報セキュリティ対策の促進


（ア）ａ）地方公共団体の情報セキュリティ対策水準向上のための普及・啓発

・６月にBCP策定セミナーを開催し、103人が受講した。・11月にトピックスセミナー「地方公共団体におけるICT部門のBCP策定のポイント」を開催し、151人が受講した。・ｅラーニングによる地方公共団体専門コース（コース内においてBCPに言及）を実施し、5,287人が受講した。・情報セキュリティ監査セミナーを2011年９月から2012年２月にかけて３回開催し、合計115人が受講した。・ｅラーニングによる情報セキュリティ専門コース（コース内において情報セキュリティ監査に言及）を実施し、6,241人が受講した。

経済産業省

総務省

別添１－12

（ア）ｂ）地方公共団体の情報セキュリティ対策水準向上のための普及・啓発

・LGWAN（総合行政ネットワーク）内にポータルサイトを開設し、地方公共団体に関係する

新の情報セキュリティニュース（個人情報の漏えい事故、ウェブサーバへの不正アクセス事件等）や地方公共団体の新セキュリティ対策の取組み事例、新セキュリティ技術解説等の情報提供を行っている。また、情報セキュリティに関する研修会の資料等も提供し地方公共団体が活用できるようにしている。

（ア）ｃ）地方公共団体の情報セキュリティ対策水準向上のための普及・啓発

・ホームぺージの改ざん防止等を図るため、地方公共団体のウェブサーバ等のネットワーク機器やウェブアプリケーションの脆弱性をインターネット経由で診断できるシステムを構築した。診断により脆弱性が検出された場合、その結果と対策方法を地方公共団体にレポートで報告し、対策をサポートした。また、診断結果やセキュリティ関連技術を解説し、問題点の理解を深めるための研修会を全国５か所で開催した。

（ア）ｄ）地方公共団体の情報セキュリティ対策水準向上のための普及・啓発

・地方公共団体のホームページを自動巡回し、ガンブラー等、ウェブページを閲覧するだけで感染するタイプのウイルス（ウェブ感染型マルウェア）の有無を検知した。検知された場合、速やかに当該団体へ連絡を行い、対処方法等をサポートした。また、新のウイルス情報等に関して定期的にレポートを発行し情報提供を行うとともに、ウイルス対策等の啓発を行う研修会を全国５か所で開催した。

（ア）ｅ）地方公共団体の情報セキュリティ対策水準向上のための普及・啓発

・なりすましメール対策として送信ドメイン認証技術の導入に関する研修会を全国５か所で開催した。・送信ドメイン認証技術の都道府県別導入率について、四半期ごとに地方公共団体に情報提供した。

（イ）地方公共団体の教育関係部門への情報セキュリティに関する普及・啓発の推進

文部科学省・地方自治体の情報教育担当が集まる会議において、情報セキュリティの取組に関する普及・啓発を実施した。

（ウ）地方公共団体の職員に対する情報セキュリティ関係研修の充実

総務省・ｅラーニングによる情報セキュリティ研修を2011年７月から2012年１月まで実施し、延べ103,741人が受講した。

（エ）ａ）独立行政法人等における情報セキュリティ対策の推進

・内閣官房において、独立行政法人等における情報セキュリティポリシーの整備状況調査を所管府省庁に依頼し、継続して2011年度末にも実施し、情報セキュリティ政策会議に結果を報告した。・NISCホームページに「独立行政法人等における情報セキュリティ対策」を掲載しており、独立行政法人等向けのポリシー雛形を、統一基準の改定に応じて継続的に提供した。

（エ）ｂ）独立行政法人等における情報セキュリティ対策の推進

・各府省庁において、所管する独立行政法人等に対して情報セキュリティ対策に係る事項の中期目標明記に向けた取組を実施した。内閣官房は、継続して2011年度末にも調査を実施しており、情報セキュリティ政策会議に結果を報告した。

独立行政法人等所管府省庁

別添１－13

（エ）ｃ）独立行政法人等における情報セキュリティ対策の推進

・内閣官房において、各府省庁に対して、所管する独立行政法人等から発信する電子メールがなりすまされることのないよう、SPF等の送信ドメイン認証技術の採用を呼びかけ、推進した。・各府省庁において、それぞれが所管する独立行政法人等に対して、独立行政法人から発信する電子メールについて、なりすまされることのないようSPF等の送信ドメイン認証技術の採用等を推進した。

（オ）独立行政法人等との緊急時等の連絡体制の整備

内閣官房及び独立行政法人等所管府省庁

・内閣官房において、各府省庁と所管する独立行政法人等との間で、緊急時を含め実効性のある連絡体制を整備し、実効性の確認を行うよう依頼した。継続して2011年度末にも調査を実施しており、情報セキュリティ政策会議に結果を報告した。

（カ）行政機関以外の国の機関との連携

内閣官房・内閣官房において、情報セキュリティ対策推進会議及び高情報セキュリティアドバイザー等連絡会議等を開催し、行政機関以外の国の機関をオブザーバーとして登録することで、情報セキュリティ上の共通的な課題について情報交換や連携を実施。また、国会議員や政府機関への情報セキュリティ上のリスクが顕在化している状況を踏まえ、情報セキュリティ対策推進会議等オブザーバ機関に対して、NISCの取組を参考にして、情報セキュリティ対策の推進を要請した。

別添１－14




② 重要インフラの基盤強化

ア　情報共有体制の強化


（ア）ａ）共有すべき情報の整理・情報の提供者、情報共有のタイミング、共有方法、利用する場面等について、情報の性質、情報提供者の意向等に応じて共有すべき情報についてマトリクスに整理した。また、標的型攻撃メール等に関する有益な情報は何か、共有可能な内容、範囲等についての検討を行った。

（ア）ｂ）共有すべき情報の整理・既に構築されている実施細目に基づく情報共有の範囲を超える情報共有について、災害等緊急時における対応を含め、セプター間で共有すべき情報、官民で共有すべき情報等の調査、アンケート等により具体的な共有手段の検討を行い、共有に当たっての制約、有用な情報とは何か等について調査、整理した。

（イ）ａ）「重要インフラの情報セキュリティに係る第２次行動計画」の情報連絡・情報提供に関する実施細目に基づく情報共有の推進

・実施細目に基づき、重要インフラ所管省庁等を通じ情報連絡を受け、内容に応じて関係省庁等への情報提供を着実に行った。（情報連絡43件、情報提供34件）

（イ）ｂ）「重要インフラの情報セキュリティに係る第２次行動計画」の情報連絡・情報提供に関する実施細目に基づく情報共有の推進

・実施細目に基づく情報提供、実際に生じたサイバー攻撃事案への対処等における情報共有が適切に機能していることが確認されたことなどを踏まえ実施細目の検証を行い、引き続き現行のもので情報共有を図ることとした。

（ウ）ａ）実施細目に基づく情報共有に係るルールの改善等

・各分野において、重要インフラ所管省庁から各セプターへの情報共有ルール及び重要インフラ事業者等から重要インフラ所管省庁への情報共有ルールについて情報共有の訓練も活用し実施細目との整合性の確認等を実施している。

（ウ）ｂ）実施細目に基づく情報共有に係るルールの改善等

・各分野において、セプター内における情報共有のルールについて、実施細目との整合性の確認、状況に応じた助言等を実施した。

（エ）ａ）セプターの強化及び訓練・内閣官房において、重要インフラ所管省庁の協力を得て、2011年度末時点の各セプターの特性、活動状況を把握するととともにセプター特性把握マップを公表した。

（エ）ｂ）セプターの強化及び訓練・内閣官房において、重要インフラ所管省庁の協力を得て2011年７月から10月にかけて10のセプターが参加し情報共有訓練を実施した。2012年１月までに結果をとりまとめ、重要インフラ所管省庁およびセプターへ報告した。

（オ）広報公聴活動の充実内閣官房・NISC重要インフラニュースレターを22回発行し、注意喚起情報の掲載の他、政府機関、関係機関、セプター、海外機関の情報セキュリティに関する公表情報等の広報を行った。・広報公聴に資するウェブサイトを充実させたほか、情報セキュリティ政策に関する講演を7回行った。

内閣官房

内閣官房

重要インフラ所管省庁

内閣官房及び重要インフラ所管省庁

別添１－15

（カ）リスク・コミュニケーションの充実


・内閣官房において、関係機関との意見交換会を実施した。また、重要インフラ事業者等とリスクコミュニケーションを行う場として、共通脅威分析及び分野横断的演習検討会を計３回実施した。また、セプターカウンシルにおいて、重要インフラ事業分野のＩＴシステムの利用現場や施設等の見学や紹介等の活動を５回行った。

（キ）重要インフラ事業者向けの啓発セミナー等の実施

経済産業省・2012年２月に「IPA重要インフラ情報セキュリティシンポジウム2012」を開催し235名が参加した。シンポジウムでは、制御システムの情報セキュリティに関する米欧韓日の各国の政策および脅威と対策の新動向や、国内の事業者における近の取り組み事例を紹介した。

（ク）「情報システムの信頼性向上に関するガイドライン」の活用・普及【再掲：２（１）①キ】

経済産業省

イ　「セプターカウンシル」の活動促進


（ア）「セプターカウンシル」の支援

内閣官房・内閣官房において、セプターカウンシル事務局として、カウンシルの意思決定を行う総会、総合的な企画調整を行う幹事会及び個別のテーマついての検討・意見交換等を行うWGの運営を通じて、カウンシル活動を支援した。2011年度は、述べ23回の会合を開催し、分野横断的な情報共有の推進を図った。

ウ　「安全基準等」の整備浸透


（ア）ａ）「安全基準等」策定方針及び重要インフラ分野における「安全基準等」の継続的改善

・内閣官房において、IT障害事例、社会動向の変化、分野横断的演習等の動向を踏まえ、指針の分析・検証を実施した。2012年度に、指針及び対策編の改定を検討する予定。

（ア）ｂ）「安全基準等」策定方針及び重要インフラ分野における「安全基準等」の継続的改善

・重要インフラ所管省庁において、指針や各重要インフラ分野の特性を踏まえ各重要インフラ分野における「安全基準等」の分析・検証、また必要に応じた「安全基準等」の改定等を2011年度に実施した。

（イ）「安全基準等」の整備浸透状況調査


＜重要インフラ分野における調査＞・内閣官房において、「安全基準等」の分析・検証、改定等の実施状況、今後の実施予定等の把握及び検証を実施し結果を公表した。＜重要インフラ事業者等に対する調査＞・内閣官房において、重要インフラ所管省庁の協力を得て、2011年度の調査を実施し結果を公表した。・内閣官房において、重要インフラ所管省庁の協力を得て、2012年度の調査の準備を実施した。

（ウ）電気通信システムの安全・信頼性確保

総務省・事故発生時に電気通信事業者から報告された内容等について分析・評価を行い、その結果を2011年7月に公表。当該分析・評価の内容を踏まえ、安全・信頼性確保の在り方を検討中。

エ　重要インフラ防護対策の向上


別添１－16


（ア）共通脅威分析の実施内閣官房・有識者、重要インフラ事業者等及び重要インフラ所管省庁（オブザーバー）からなる「共通脅威分析及び分野横断的演習検討会」を設置し、「重要システムの堅ろう性」を本年度の分析テーマに掲げ、重要インフラ事業者等との個別打合せや検討会での意見交換を行いながら脅威分析を実施し結果を公表した。

（イ）分野横断的演習の実施内閣官房及び重要インフラ所管省庁

・有識者、重要インフラ事業者等及び重要インフラ所管省庁（オブザーバー）からなる「共通脅威分析及び分野横断的演習検討会」を設置し、「電力、通信、水道、ガスの広域的かつ複合的なサービス障害」をテーマに、演習シナリオ等についての議論を進め、2011年12月に37組織131人の参加を得て（自職場からの３組織、12人の演習参加者を含む）分野横断的演習（CIIREX2011）を実施し結果を公表した。

（ウ）ａ）重要インフラで利用される情報システムの信頼性向上のための支援体制の整備

・システム障害事例の集障害情報一覧表である「システム障害事例データベース」を継続してまとめ、SECジャーナル（26号、27号）に掲載した。また、事業者の取組みについての調査結果をWGで議論・整理し、「障害管理の取組みに関する調査」としてWeb公開予定である。

（ウ）ｂ）重要インフラで利用される情報システムの信頼性向上のための支援体制の整備

・重要インフラ等の制御システムに対して、脆弱性低減のための普及・啓発を推進するため、製造事業、プラント事業等の制御システムに関するセキュリティへの対応について国内外の状況を調査した。

（エ）サイバー攻撃（インシデント）対応調整支援【再掲：１（１）イ】

経済産業省

（オ）ａ）重要無線通信妨害対策の強化・電波監視体制充実・強化３ヶ年計画に基づき、重要無線通信妨害事案の発生時の対応強化のため、重要無線通信妨害申告受付について休日夜間の全国一元化の受付を実施した。

（オ）ｂ）重要無線通信妨害対策の強化・電波利用秩序維持のため、遠隔操作による電波監視実施施設等の性能向上を図りつつ、2011年度に同施設のセンサーを更改した。

（オ）ｃ）重要無線通信妨害対策の強化・電波監視施設の高度化・高機能化のための調査研究を実施した。

オ　制御システムに関する情報セキュリティ上の課題への対応


（ア）制御システムの課題を踏まえた対策の検討と対応

内閣官房・2011年度共通脅威分析において、「共通脅威分析及び分野横断的演習検討会」を設置し、「Stuxnet」等の障害事例を対象に、制御システムを含めた「重要システムの堅ろう性」について分析を実施し結果を公表した。

経済産業省

総務省

別添１－17

（イ）制御システムの情報セキュリティ基準の策定及び評価・認証制度構築

経済産業省・重要インフラ等で活用される制御システムのセキュリティ強化を図るため、2011年10月、制御システムセキュリティ検討タスクフォースを設置した。未然防止策として国際標準化の推進、実証実験の実施、評価認証スキームの構築、事後対策としてインシデント対応体制の構築、人材育成、普及啓発の推進等を検討しており、2012年春までに中間とりまとめを行う予定である。

（ウ）制御システムに関する脆弱性への対応のための連携体制の構築

経済産業省・制御システムセキュリティタスクフォースのインシデントハンドリング体制ワーキンググループにおいて、制御システムに関する脆弱性について「ソフトウエア等脆弱性関連情報取扱基準」（経済産業省告示）に基づく適切な情報流通の在り方及びインシデントへの対応方法等について検討を行った。また、JPCERT/CCにおいて、制御システムセキュリティ情報共有コミュニティ（「制御システムベンダーセキュリティ情報共有タスクフォース」から名称変更）の活動として、制御システムに関するセキュリティインシデントに関わる事例やセキュリティ自己評価ツールその他の技術動向に関する情報の共有を進めた。2012年２月に、制御システムに関係する産官学のスピーカーを招いて、「After Stuxnet」をテーマに、ユーザ、ベンダおよび国の取組等を紹介し、情報交換を行う「制御システムセキュリティカンファレンス」を開催した。

（エ）ａ）重要インフラ事業者に対するソフトウェアや制御システム等の脆弱性関連情報の優先提供及び情報セキュリティ関連情報マネジメントの支援等

・制御システムセキュリティタスクフォースのインシデントハンドリング体制ワーキンググループにおいて、制御システムに関する脆弱性について「ソフトウエア等脆弱性関連情報取扱基準」（経済産業省告示）に基づく適切な情報流通の在り方及びインシデントへの対応方法等について検討を行った。

（エ）ｂ）重要インフラ事業者に対するソフトウェアや制御システム等の脆弱性関連情報の優先提供及び情報セキュリティ関連情報マネジメントの支援等

・JPCERT/CCにおいて、重要インフラ事業者において対策が必要となる可能性のある情報セキュリティ上の脅威及びその対策について、それぞれの関係者に対し40件の「早期警戒情報」を発行した（2012年２月末現在）。

（エ）ｃ）重要インフラ事業者に対するソフトウェアや制御システム等の脆弱性関連情報の優先提供及び情報セキュリティ関連情報マネジメントの支援等

・注意喚起情報をリアルタイムに配信する「サイバーセキュリティ注意喚起サービスicat（アイキャット）」を公開し、「業界団体等向け情報セキュリティ対策説明会」等で普及を推進した。また、｢JVN iPedia｣（脆弱性対策情報データベース）について、制御システム関連の脆弱性の検索機能を追加した。

カ　事業継続計画（BCP）の充実


経済産業省

別添１－18

（ア）事業継続計画（BCP）の充実内閣官房・内閣官房において、東日本大震災が重要インフラの情報システムの安定運用に及ぼした影響及び重要インフラサービスに波及した状況を把握し、情報システムの安定運用の視点で重要インフラの安全基準やBCPに盛り込むべき課題を抽出するため、重要インフラ事業者及び専門家へのヒアリング調査等を実施し、2012年３月、「東日本大震災における重要インフラの情報システムに係る対応状況等に関する調査報告書」を取りまとめた。2012年度に、指針及び対策編の改定を検討する予定。

キ　重要インフラ分野での国際連携推進


（ア）ａ）重要インフラ分野での国際連携推進

・重要インフラ政策に携わる政府機関が相互の連携について検討を行うMERIDIAN会合に参加し、日本の情報セキュリティ政策等を紹介するとともに、欧米やアジア各国の重要インフラ防護担当者との意見交換を通じて、情報セキュリティ政策の国際的な動向に関する情報収集を行った。また、IWWN (InternationalWatch and Warning Network)における会議に参画し、重要インフラ分野における国際的な連携を深めた。

（ア）ｂ）重要インフラ分野での国際連携推進

・重要インフラニュースレター等において、海外の関連動向やセキュリティ脅威に関する情報を紹介したほか、セプターカウンシル等において各国の動向等について情報提供を行った。

内閣官房

別添１－19




③ 情報セキュリティ産業の振興


（ア）情報セキュリティ産業の振興内閣官房、総務省及び経済産業省

・2011年12月、技術戦略専門委員会の下に、情報セキュリティ技術開発を活用した産業活性化検討ワーキンググループを設置した。同ワーキンググループにおいて、情報セキュリティ産業の活性化に関する方策について検討を行っている。

（イ） IPv6環境のセキュリティ評価システムの構築

総務省・独立行政法人情報通信研究機構（NICT）とOSベンダ、通信事業者、ネットワーク機器ベンダ等とで設立したIPv6技術検証協議会において、企業ネットワークを想定したIPv6セキュリティ検証環境を設計・構築し、その環境下で40通りの攻撃シナリオを実行して攻撃の成否や原因等の検証を実施した。また、それらの攻撃シナリオに対する100通りの防御策を協議会において検討し、その中から16の防御技術についてプロトタイプ開発を行った。

（ウ） IPv6環境における脆弱性検証ツールの貸出し

経済産業省・IPv6環境において、TCP/IPに係る14種類の既知の脆弱性を検証可能な脆弱性検証ツールの利用促進を図るため、引き続きツールの貸出を実施した。

（エ）安全性・信頼性の高いIT製品等の利用推進【再掲：２（１）①カ】


（オ）安全性・信頼性の高い暗号モジュールの利用推進【再掲：２（１）①エ】


（カ）情報システム調達時等における情報セキュリティの確保の支援【再掲：２（１）①キ】

経済産業省

（キ）クラウドコンピューティングのセキュリティ【再掲：２（１）④イ】

経済産業省

別添１－20




④ その他の基盤強化

ア　スマートフォンに関する情報セキュリティ確保方策


（ア）スマートフォンのセキュリティ確保推進


・2012年２月の情報セキュリティ月間において、スマートフォンにおける情報セキュリティ対策について普及啓発を図った。・スマートフォンにおけるウイルス感染の脅威が増してきている現状を踏まえ、2011年６月に「IPA テクニカルウォッチ『スマートフォンへの脅威と対策』に関するレポート」、2011年10月に「IPA スマートフォンのセキュリティ＜危険回避＞対策のしおり（第１版）」を公表した。・総務省において、スマートフォンの情報セキュリティ上の課題を検討するため、｢スマートフォン・クラウドセキュリティ研究会｣を開催し、2011年12月に中間報告をとりまとめ、公表を行った。また上記の中間報告で策定した、｢スマートフォン情報セキュリティ３か条｣について、情報セキュリティ月間の行事や政府広報を通じて、利用者周知を行った。

イ　クラウドコンピューティング化に対応した情報セキュリティ確保方策、標準化


（ア）クラウドコンピューティングのセキュリティ

経済産業省・経済産業省が2011年４月に策定した｢クラウドサービスマネジメントガイドライン｣を同年４月のISO/IEC JTC1 SC27シンガポール会議にて新規提案として提出し、同年８月には本提案が承認され、IEC27017として作成されることとなった。・同年10月のナイロビ会合に第１回となる編集会議が行われた。今後、2014年のIS化に向けて継続的な支援を実施する。

（イ）クラウドサービスレベルのチェックリスト等の普及・促進

経済産業省・普及と利用促進を継続的に実施している状況である。

（ウ）セキュアでグリーンなクラウドコンピューティング環境の整備

経済産業省・クラウドコンピューティングに関する信頼性、互換性、エネルギー効率等を向上させる技術の開発事業を実施し、報告書としてとりまとめた。また、クラウドコンピューティング・セキュリティに関する認証の枠組み及び基準案を策定し、報告書にまとめた。

（エ）先端のグリーンクラウド基盤構築に向けた研究開発

総務省・先端のグリーンクラウド基盤技術について、プロトタイプを開発し、性能検証を実施した。また、研究成果を広く発表する場として「クラウドネットワークシンポジウム2012」を開催した（約290人が参加）。

別添１－21

（オ）クラウド対応型セキュリティ技術の研究開発

総務省・クラウドは災害時における業務継続性等の確保に有用である一方、データの保管場所・処理方法が不明確であるなど、情報漏えい等の情報セキュリティ上の課題が指摘されていることから、その普及を促進するため、データを暗号化したままで、差分の生じたデータのバックアップ処理、検索処理及び統計処理を可能とする技術、クラウドサービスのセキュリティレベルを利用者が把握することを可能とする技術等の新たな情報セキュリティ技術の研究開発を実施した。　また、東日本大震災を踏まえ、研究開発内容を災害対応に拡充し、被災地とも連携した実証実験を実施予定。

（カ）新たな技術に対する情報セキュリティ対策の強化【再掲：２（１）①オ】


ウ　IPv6対応、SNSに関する情報セキュリティ確保方策


（ア） IPv4/v6併用環境におけるセキュリティ対策

総務省・IPv4/v6併用環境において適切なセキュリティが確保されるよう、IPv6対応セキュリティガイドラインをとりまとめた。また、インターネットサービスプロバイダにおけるIPv6接続サービスの提供状況調査を実施し、「IPv6によるインターネットの利用高度化に関する研究会」において調査結果を公表した。

（イ） IPv6環境のセキュリティ評価システムの構築【再掲：２（１）③】

総務省

（ウ） IPv6環境における脆弱性検証ツールの貸出し【再掲：２（１）③】

経済産業省

（エ）ａ）ソーシャルメディアの利用に係る情報セキュリティ確保方策

・内閣官房、総務省及び経済産業省が共同し、ソーシャルメディアを活用した情報発信を行うに当たり、成りすまし等を防止するために留意すべき事項等について検討を行った。

（エ）ｂ）ソーシャルメディアの利用に係る情報セキュリティ確保方策

・内閣官房において、ソーシャルメディアの利用に係る当面留意すべき事項について、2011年４月に「国、地方公共団体等公共機関における民間ソーシャルメディアを活用した情報発信についての指針」を取りまとめ、各府省庁に対して周知を行った。

エ　マルウェア対策等の充実・強化等



Ⅰ）情報セキュリティインシデントへの対応

別添１－22

（ア）サイバー攻撃停止に向けた枠組みの構築

総務省及び経済産業省

・総務省及び経済産業省、並びにインターネットサ－ビスプロバイダ（ISP）の官民連携によりサイバークリーンセンター(CCC)を組織し、おとりのPCを用いて３万種のボットウイルスを発見し、ウイルス駆除ツールを作成・提供するプロジェクトを2006～2010年度に実施した。参加ISPが、延べ54万人の感染者にウイルス駆除等の対策実施を勧奨（駆除ツールのダウンロード回数：140万回）し、国内のボット感染率は、プロジェクト開始前の約２％から、約0.6％に減少した。2010年９月には、ドイツが日本の成功事例を参考に、同様の取組を開始。2011年度は、民間事業者の自主的な取組として実施する枠組みを整備した。・Telecom-ISAC Japan、JPCERT/CC、IPAの三者にてサイバークリーンセンター運営連絡会を設置し、民間主導のボット対策の連携の取組みを引き続き実施した。

（イ）ａ）サイバー攻撃事前防止・早期対策及び危害サイト回避に向けた取組の推進

・国内外のインターネットサービスプロバイダ（ISP）、大学等との協力によりサイバー攻撃、マルウェア等に関する情報を収集するネットワークを国際的に構築し、諸外国と連携してサイバー攻撃の発生を予知し、即応を可能とする技術について、研究開発及び実証実験を実施した。

（イ）ｂ）サイバー攻撃事前防止・早期対策及び危害サイト回避に向けた取組の推進

・マルウェアを配布する危害サイトへのユーザアクセスに対して、インターネットサービスプロバイダ（ISP）が危害サイト評価情報データベースを構築し、当該情報に基づき注意喚起を行うことにより、ユーザのマルウェア感染を未然に防ぐ実証実験を実施した。また、ISPへの情報提供方法等法制度の課題の整理及び検討を実施した。

（ウ）ａ）コンピュータセキュリティ早期警戒体制の強化

・JPCERT/CCにおいて、インシデント報告の受付、攻撃手法の解析及び被害の発生・拡大の抑止のためのインシデント発生源等への連絡調整、脅威情報の収集・分析、注意喚起等の情報発信、脆弱性関連情報に関する製品開発者間の調整、製品開発者への情報提供から対策情報公開に至るまでの調整を迅速に行うための製品開発者連絡網の拡充等の活動を継続して行うとともに、国内ブランドのフィッシングサイトの増加に対応するため「フィッシング対策協議会」との間の情報連携を一層強化した。・制御システムセキュリティ情報共有コミュニティ（「制御システムベンダーセキュリティ情報共有タスクフォース」から名称変更）の活動として、制御システムに関するセキュリティインシデントに関わる事例やセキュリティ自己評価ツールその他の技術動向に関する情報の共有を進めた。・攻撃手法や脅威動向に関する情報共有・連携を目的とする、情報セキュリティに関する専門家や事業者、関係機関間での会合を年間で約30回以上開催した。・2011年度は、特に、ステルス型の標的型攻撃に使われるツール類の解析に力を入れ、攻撃手法の変化に関する分析や対策方法の有効性の評価を試みたほか、国内外の専門家等との間で、分析結果に関する情報交換を行った。・標的型メール攻撃への対応に関する組織内演習のプログラムであるITセキリティ予防

経済産業省

総務省

別添１－23

（ウ）ｂ）コンピュータセキュリティ早期警戒体制の強化

・JPCERT/CCにおいて、APCERT（Asia PacificComputer Emergency Response Team）のメーリングリストやAPCERTに設置されたTSUBAMEワーキンググループにおける活動等を通じ、マルウエアやソフトウエアの脆弱性、その他の攻撃手法、DDoS等に関する状況や分析結果等に関する情報共有を進めている。・ASEANを中心に13のチームが参加した「ASEANサイバーセキュリティ演習」（2011年９月に実施）、及び、APCERT(Asia PacificComputer Emergency Response Team) メンバによる演習（2012年２月に実施）において、各国チームがマルウェアや攻撃手法の解析を行い結果を共有した。・海外の関係機関と共有している攻撃手法の分析レポートについては、昨年度から継続して共有を行っている海外組織に加え、2011 年度は、新たにミャンマーとの共有を開始した。

（エ）組織の緊急対応チームの普及、連携体制の強化

経済産業省・JPCERT/CCにおいて、日本シーサート協議会に対する貢献活動を通じて、国内のCSIRTとの共同活動を通じた相互理解と信頼関係の醸成を図っている。また、組織内CSIRTの必要性や構築の仕方等に関する講演等を通じた情報提供に努めるとともに、日本国内の組織内CSIRTのFIRST（Forum of Incident Response andSecurity Teams）への加盟手続きの支援活動を行った。・海外における組織内CSIRT構築・運用支援活動として、JPCERT/CCは、アフリカ諸国向けのCSIRTトレーニング（計２回）の講師を務めた。同トレーニングは、2011年５～６月にかけてタンザニアで、2011年11月にカメルーンで実施された。・ミャンマーにおけるCSIRT構築・運用支援のために、JPCERT/CCの専門家をミャンマーのNational CSIRTであるmmCERTに派遣し、2011年９月にネットワークフォレンジック研修、2011年12月にはマルウエア解析研修を実施した。

（ア）安全性確保のためのソフトウェア等のリバースエンジニアリングの適法性の明確化

文部科学省・現在まで、リバースエンジニアリングの適法性を明確化する法改正に至っていないが、適法性の明確化を図るべく、引き続き次の改正の機会に向けて努力を続ける。

（イ）マルウェアに関する情報収集・提供

経済産業省・従来の脆弱性に関する届出の受付等、受動的な情報セキュリティ対策推進業務に加え、新たにサイバー攻撃や脆弱性の検出を行うための「脆弱性分析業務」を実施した。

（ウ）ａ）標的型サイバー攻撃への対応・2011年10月、重要インフラで利用される機器の製造業者を中心に、サイバー情報共有イニシアティブ（J-CSIP）を発足。情報セキュリティ対策について情報共有を行うとともに情報共有ルールの検討を行い、2012年３月に情報共有ルールを整備した。　また、2012年２月に米国政府関係者の協力のもと「サイバー情報共有のためのワークショップ」を開催した。

演習のプログラムであるITセキュリティ予防接種の実施を希望する組織の依頼に応じ、同プログラムに調査において開発したツールの提供を行った。

Ⅱ）検体解析

経済産業省

別添１－24

（ウ）ｂ）標的型サイバー攻撃への対応・個人情報取扱事業者が取り組むべき技術的安全管理措置に関しては、各技術的安全管理手法の有効性等を検証し、個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインの改定を検討した。

（ウ）ｃ）標的型サイバー攻撃への対応・2011年10月より「標的型サイバー攻撃の特別相談窓口」を設置し、標的型サイバー攻撃への対応を強化した。・JPCERT/CCによるインシデント対応支援活動においても、国内の組織を対象とした標的型とみられる攻撃への対応支援を行った。

（ウ）ｄ）標的型サイバー攻撃への対応・組織内部者のルール違反等の内部不正に関する情報収集、分析事業を実施し、2012年３月に「企業の内部不正についての取り組み」として、国内外の状況および聞き取り調査の結果を公表した。

（ア）ａ）ソフトウェア等の脆弱性に係るマネジメントの支援等

・ソフトウェア等の脆弱性に関する情報をマネジメントツールが自動的に取り込める形式で配信するサービス（VRDAフィードの配信）について、IPAが運用するMyJVN APIおよびNIST (National Institute of StandardsandTechnology)のNVD (NationalVulnerability Database) を外部データソースとして利用する方式への切り替えを2010年度に実施した。これによる今年度の配信件数は7,135件であった（2012年３月現在）。

（ア）ｂ）ソフトウェア等の脆弱性に係るマネジメントの支援等

・｢JVN iPedia｣（脆弱性対策情報データベース）の脆弱性分類情報の検索・統計機能の追加及び管理機能強化を行った。また、「MyJVN」（情報システム利用者の脆弱性対策支援ツール）のサポート対象をサーバOSやサーバ製品に拡張。IPAの注意喚起と連動し、特定のインシデントに対応できるように、チェック項目のカスタマイズを行える機能を追加した。

（イ）ａ）ソフトウェアや情報システムの安全な利用の推進及び脆弱性の発生を縮減するための対策の推進

・「ソフトウエア等脆弱性関連情報取扱基準」（経済産業省告示）に基づいて運用している脆弱性ハンドリング体制について、連絡がとれない製品開発者一覧の公表を開始した。公表にあたっては、制御システム機器に関する脆弱性関連情報のハンドリングを含め、対応の効率化を図りながら、連絡が取れない製品開発者案件の取り扱いを盛り込んだ改定版のガイドラインに基づき実施した。・JPCERT/CCにおいて、昨今携帯端末のソフトウェア開発等での活用が著しいJava言語を使って安全なプログラム開発するためのコーディングガイドライン「Javaセキュアコーディングスタンダード」を2011年11月に公開し、このコーディングガイドラインをベースに、京都、東京にて、学生等若年層向けのセキュアコーディングセミナーを実施した。

経済産業省Ⅲ）ソフトウェアの脆弱性対策

経済産業省

別添１－25

（イ）ｂ）ソフトウェアや情報システムの安全な利用の推進及び脆弱性の発生を縮減するための対策の推進

・JPCERT/CCにおいて、昨今携帯端末のソフトウェア開発等での活用が著しいJava言語を使って安全なプログラム開発するためのコーディングガイドライン「Javaセキュアコーディングスタンダード」を2011年11月に公開した。このコーディングガイドラインをベースに、京都、東京にて、学生等若年層向けのセキュアコーディングセミナーを実施した（参加者は56名）。セミナーの実施と併行して解説資料の開発を行い、コース内容の一層の充実を図った。また、2011年５月にタイ、インドネシアにおいて、C/C++セキュアコーディングセミナーを実施するとともに、今後、より効果的な海外向け啓発活動を実施するため、各国における開発現場の課題、開発手法、プロジェクトの傾向等情報収集を行った。

（イ）ｃ）ソフトウェアや情報システムの安全な利用の推進及び脆弱性の発生を縮減するための対策の推進

・組込み機器や情報家電等の開発者に利用されているプロトコルであるTCP/IP及びSIPの脆弱性検証ツールを開発者に引き続き提供した。

（イ）ｄ）ソフトウェアや情報システムの安全な利用の推進及び脆弱性の発生を縮減するための対策の推進

・セミナーを通じ、「安全なウェブサイトの作り方」と体験的かつ実践的に学ぶツール「AppGoat」の普及を推進した。

（イ）ｅ）ソフトウェアや情報システムの安全な利用の推進及び脆弱性の発生を縮減するための対策の推進

・外部接続機器等を通したネットワークへの接続が考えられる自動車において、発生しうる情報セキュリティ上の課題とその対策を検討し、その内容を整理した。2012年度以降に公表予定。

（イ）ｆ）ソフトウェアや情報システムの安全な利用の推進及び脆弱性の発生を縮減するための対策の推進

・IPAにおいて、脆弱性を早期に検出し、対策を促すための脆弱性検出業務を予定通りに立ち上げ、組込み製品の脆弱性検出の開始および脆弱性対策を促進した。

（ウ）企業の運営するＷｅｂサイトの安全性向上

経済産業省・ログを解析し外部からの攻撃の痕跡を検査する「ウェブサイト脆弱性のログ解析型検査ツール」(iLogScanner)を企業の Web サイト運営者等に引き続き提供した。

（エ）重要インフラ事業者に対するソフトウェアや制御システム等の脆弱性関連情報の優先提供及び情報セキュリティ関連情報マネジメントの支援等【再掲：２（１）②オ】

経済産業省

（オ）制御システムに関する脆弱性への対応のための連携体制の構築【再掲：２（１）②オ】

経済産業省

（ア）ａ）情報漏えい対策への取組・ファイル共有ソフトによる情報漏えいを防止するなどの機能を有する「情報漏えい対策ツール」を引き続き提供した。

経済産業省Ⅳ）他の関連取組

別添１－26

（ア）ｂ）情報漏えい対策への取組・IPAにて、情報漏えいの新たな手法や手口の情報収集に努め、月次レポート等により対策情報等、必要な情報を提供した。・「スマートフォンのセキュリティ対策のしおり」、「初めての情報セキュリティ対策のしおり」「標的型攻撃メール対策のしおり」を作成して公開するとともに、印刷資料として配布した。さらに、「７分で気づく身近にある情報漏えいの脅威」と題する映像コンテンツを作成し配布した。

（イ）信頼性を評価するための共通の評価指標の確立

経済産業省・ソフトウェアの品質を可視化するための指標を整備し、2011年11月に国際標準化機関への提案を実施した。

（ウ） DNSSEC導入の促進総務省・昨年度に引き続き「国民のための情報セキュリティサイト」において、電気通信事業者及び企業のネットワーク管理者がDNSSECを導入するためのポイントや注意事項等をコンテンツとして掲載し、DNSSECの円滑な導入に向けた周知等を実施した。

（エ）ａ）スパムメール対策の強化・総務省及び消費者庁において、2011年度は特定電子メール法及び特定商取引法に基づき、計12件の行政処分を実施した。

（エ）ｂ）スパムメール対策の強化・迷惑メール対策推進協議会と協力し、各種業界団体に対して送信ドメイン認証技術等迷惑メール対策技術の導入を推進するための説明会を16回開催した。また、各種業界団体の広報誌等に送信ドメイン認証技術の導入を推進するための解説記事を７回寄稿する等した。

（エ）ｃ）スパムメール対策の強化・2011年９月にKISA（韓国情報保護振興院）とスパム対策に関する情報交換を実施した。また、2011年10月に開催されたロンドンアクションプラン、ソウル・メルボルンMOUに出席し、スパム対策に関する情報交換を実施した。さらに、迷惑メールの送信元IPアドレスの交換を中国、ブラジル等と実施している。

（エ）ｄ）スパムメール対策の強化・総務省及び消費者庁において、「迷惑メール追放支援プロジェクト」としてインターネット接続サービス事業者への違法スパムメールに関する情報提供を引き続き実施している。

（エ）ｅ）スパムメール対策の強化【再掲：２（１）①ウ】

オ　情報家電、モバイル端末、電子タグ、センサーネットワーク等の情報セキュリティ確保方策


（ア）ソフトウェアや情報システムの安全な利用の推進及び脆弱性の発生を縮減するための対策の推進【再掲：２（１）④エ】

経済産業省

内閣官房、総務省及び消費者庁

別添１－27

（イ）システムLSIのセキュリティ評価・認証体制の整備

経済産業省・評価認証体制の整備の一環として、脆弱性評価用標準スマートカードの整備を行い、評価機関候補の能力判定に活用した。また、欧州スマートカード脆弱性評価認証関連団体JIL/JHASに参加し、積極的に欧州とのコラボを推進すると共に情報を収集した。

（ウ）重要インフラ事業者に対するソフトウェアや制御システム等の脆弱性関連情報の優先提供及び情報セキュリティ関連情報マネジメントの支援等【再掲：２（１）②オ】

経済産業省

（エ）制御システムに関する脆弱性への対応のための連携体制の構築【再掲：２（１）②オ】

経済産業省

（オ）制御システムの情報セキュリティ基準の策定及び評価・認証制度構築【再掲：２（１）②オ】

経済産業省

（カ）情報システム調達時等における情報セキュリティの確保の支援【再掲：２（１）①キ】

経済産業省

カ　中小企業に対する情報セキュリティ対策支援


（ア）ａ）中小企業における情報セキュリティ対策の推進

・中小企業の情報セキュリティ対策実施を促進するため、全国各地の商工会議所・商工会関係者・ITコーディネータ等に対して、中小企業情報セキュリティ対策指導者育成セミナーを全国27カ所で開催し、1,202人が参加した。

（ア）ｂ）中小企業における情報セキュリティ対策の推進

・商工会議所等から依頼を受けた講演（年間90回以上）においてガイドラインの紹介を行うと共に、「中小企業における組織的な情報セキュリティ対策ガイドライン」1,000部、「５分でできる中小企業のための情報セキュリティ自社診断パンフレット」13,000部を配布した。また、上述パンフレットのe-ラーニング教材「５分でできる！情報セキュリティポイント学習」（CD-ROM）を5,500部配布した。

（イ）ａ）中小企業等を対象とした情報セキュリティに係る相談窓口の対応と適切かつ的確な情報提供

・中小企業情報セキュリティ指導者育成セミナーを受講者した講師が中小企業者に対する講習会を全国各地で92回開催し、地域の中小企業者の相談窓口対応と情報提供等を行った。

（イ）ｂ）中小企業等を対象とした情報セキュリティに係る相談窓口の対応と適切かつ的確な情報提供

・中小企業に指導する立場にある者等による情報セキュリティに係る相談対応等を支援するツール等の開発を実施した。

キ　安全な電子商取引の推進


経済産業省

経済産業省

別添１－28

（ア）企業における電子署名利活用の普及促進

総務省、法務省及び経済産業省

・企業における電子署名の利活用の普及促進策について引き続き検討を行うとともに、電子署名の活用事例等について紹介するセミナー（全国５都市で開催）等を通じて、電子署名の一層の普及を図った。

ク　知的財産保護の推進


（ア）ａ）インターネット上の著作権侵害の抑止

・2011年４月、11月の国際知的財産保護フォーラム（IIPPF）による官民合同ミッション、同年８月の第２回日中インターネット知的財産保護シンポジウム及び同年10月の第３回日中知的財産権WGに参加し、インターネット上の著作権侵害の対策の強化等を要請した。・2011年９月に日中著作権会議を実施し、著作権侵害コンテンツの摘発等について引き続き効果的な対策を要請した。・2011年９月に日韓間で著作権及び著作隣接権分野における連携強化に関する覚書を締結した。・2011年12月に第3回日韓著作権フォーラムを実施し、著作権制度の現状と課題について意見・情報交換を行った。・2011年10月に「著作権・著作隣接権に係るWIPOアジア地域会合」を実施し、各国の著作権制度の現状と課題について情報・意見交換を行った。

（ア）ｂ）インターネット上の著作権侵害の抑止

・2011年４月、11月の国際知的財産保護フォーラム（IIPPF）による官民合同ミッション、同年８月の第2回日中インターネット知的財産保護シンポジウム及び同年10月の第３回日中知的財産権WGに参加し、インターネット上の著作権侵害の対策の強化等を要請した。・2011年９月に日中著作権会議を実施し、著作権侵害コンテンツの摘発等について引き続き効果的な対策を要請した。・2011年９月に日韓間で著作権及び著作隣接権分野における連携強化に関する覚書を締結した。・2011年12月に第３回日韓著作権フォーラムを実施し、著作権制度の現状と課題について意見・情報交換を行った。・一般社団法人コンテンツ海外流通促進機構（CODA）が開催する各種研究会に参加し、海賊版対策に係る情報提供を行うなど、その活動を支援した。

（イ） ACTA（偽造品の取引の防止に関する協定）の参加促進

外務省、経済産業省、文部科学省、総務省、法務省、財務省

・ACTAは2011年５月より署名のために開放され、2011年10月東京において署名式を開催して、我が国を含む８箇国が署名を行った。また、2012年１月にEU及び加盟22箇国が署名を行った。・日・ASEAN行動計画においてACTAについて言及した。・アジア諸国等に対して、ACTAの概要を説明するなど協定への参加を促すべく働きかけを行った。

総務省、文部科学省及び経済産業省

別添１－29




⑤ 内閣官房情報セキュリティセンターの機能強化

ア　NISCの総合調整機能の強化


（ア） NISCの強化内閣官房・政府機関統一基準群に基づくPDCAサイクルの確立のため、各府省庁に対し政府機関統一基準群に基づく調査・評価を行うとともに、自己点検の効率化や教育についての支援を行う等の施策を推進した。・我が国の国際的なポイント・オブ・コンタクト（POC）機能としての役割を果たすべく、情報セキュリティに係る問題を議論する国際会合であるFIRST、APECの作業部会に参加する諸外国の政府機関・民間企業等との連携強化した。

（イ）各府省庁の情報セキュリティ対策推進のための情報セキュリティ・コンサルティング機能の充実

内閣官房・内閣官房において、各府省庁の情報セキュリティ対策推進に向けた様々なニーズへの対応のため、NISCで蓄積した専門的知見をもとに情報セキュリティ・コンサルティング機能の充実を継続的に図っている。

（ウ）関係機関等との連携強化内閣官房及び内閣府

・「日本再生の基本戦略」（2011年12月）に情報セキュリティ強化等に係る内容を盛り込むなど、国家戦略会議との連携を図った。

別添１－30




① 普及・啓発活動の充実・強化


（ア）ａ）「情報セキュリティ普及・啓発プログラム」の推進

・「情報セキュリティ普及・啓発プログラム」に基づき、本節に掲げる普及・啓発活動の充実・強化施策を推進した。

（ア）ｂ）「情報セキュリティ普及・啓発プログラム」の推進

・内閣官房において、国民を対象とした自己診断チェックリストの作成に向けた検討を実施した。

（ア）ｃ）「情報セキュリティ普及・啓発プログラム」の推進

・内閣官房において、高齢者層を対象とした情報セキュリティ対策に関する啓発資料の作成に向けた検討を実施した。

（ア）ｄ）「情報セキュリティ普及・啓発プログラム」の推進

・内閣官房において、企業経営層への情報提供等、企業経営層における情報セキュリティへの理解促進に向けた当面の課題等のとりまとめに向けた検討を実施した。

（イ）「普及・啓発、人材育成専門委員会」等の設置


・普及啓発・人材育成専門委員会を2011年7月に設置し、情報セキュリティ人材育成に関する当面の課題等を整理した報告書を2012年５月に取りまとめた。また、普及啓発・人材育成専門委員会の下に普及啓発・人材育成推進方策検討ワーキンググループを2011年11月に設置し、情報セキュリティ月間等官民連携プロジェクトの企画立案、推進方策等の検討を実施した。

（ウ）「情報セキュリティ月間」の充実


・従来の取組に加え、ブロック別イベントの開催、ソーシャルネットワーキングサービスを活用した情報提供、政府インターネットテレビにおける情報セキュリティ啓発番組の作成等、「情報セキュリティ月間」の内容の充実と周知を実施した。

（エ）「情報セキュリティ月間」10月開催の検討


・内閣官房において、情報セキュリティ月間の10月開催への変更あるいは10月の新たな啓発週間の新設について、その開始年度を含め検討した。


別添１－31

（オ）ａ）各種メディア等を通じた普及・啓発の推進

・内閣官房において、「国民を守る情報セキュリティサイト」、メールマガジン、ソーシャルネットワーキングサービス等の活用を通じ、幅広い対象への情報提供を実施した。・内閣官房において、企業、一般国民等に対し、情報セキュリティ対策等に関する講演を実施した。・都道府県警察において、学校等教育機関、行政機関、企業、一般国民に対し、情報セキュリティに関する意識・知識の向上を図るため、サイバー犯罪の手口や被害防止対策等について、講演の実施やパンフレット配布等の広報啓発を実施した。・警察庁セキュリティポータルサイト「＠police」において、各種ソフトウェアに係るぜい弱性情報やインターネット定点観測情報等の情報セキュリティ関連情報を適宜提供した。・経済産業省において、警察庁及び都道府県警察の協力の下、全国のＮＰＯ法人等と連携し、2011年度も引き続き全国各地で「インターネット安全教室」を開催した。2011年度末までに約150件開催した。・総務省「国民のための情報セキュリティサイト」において、情報通信の利用動向及び情報セキュリティの状況等を踏まえたコンテンツを作成した。・IPAでは、「情報セキュリティ安心相談窓口」を設置し、国民一人ひとりからの相談に対応した。

（オ）ｂ）各種メディア等を通じた普及・啓発の推進

・情報化月間2011では、2011年10月に記念式典を開催し、情報化促進に貢献した方々を表彰した。また、情報化月間サイトを通して各機関、地域の情報化及び情報セキュリティの取組を紹介した。

（オ）ｃ）各種メディア等を通じた普及・啓発の推進

・2006年４月から、e-ネットキャラバンの全国規模での本格実施を開始し、同年度は453件、2007年度は1,089件、2008年度は1,208件、2009年度は624件、2010年度は557件の講座を実施した。・2011年度は、889件の講座を実施した。

（オ）ｄ）各種メディア等を通じた普及・啓発の推進

・2011年７月～９月に「第７回IPA情報セキュリティ標語・ポスターコンクール」を実施し、募集期間内に小中高校全国439校から11,412点（標語10,353点、ポスター950点、４コマ漫画109点）の応募を受け付けた。受賞作品53点、学校賞３校を決定し、2011年10月に、「IPA　Forum　2011」で授賞式を開催した。

（カ）電波利用秩序維持のための周知啓発活動の強化

総務省・毎年６月の電波利用環境保護周知啓発強化期間において、関係省庁の協力を得て、各種メディアにより周知啓発を実施した。さらに2011年６月～2011年８月、11月及び2012年１月～２月に総合通信局所において、電波利用機器販売店への周知・啓発を実施するとともに、｢技術基準適合マーク｣の確認についてインターネットバナー広告を実施した。

内閣官房、警察庁、総務省、経済産業省及び文部科学省

別添１－32

（キ）ａ）情報セキュリティ対策に資する各種ツール・分析等の提供

・IPAのウェブサイトにおいて、情報セキュリティ対策ベンチマークシステムを引き続き提供し、年間累計利用件数は1,800件以上であった。2011年５月に、診断の基礎データを新に入れ替え、情報システムを取り巻く環境の変化に伴い、組織の情報セキュリティ対策の取り組み状況に関して新たに２項目の参考質問を追加したバージョン3.4を公開した。

（キ）ｂ）情報セキュリティ対策に資する各種ツール・分析等の提供

・情報セキュリティ対策を実行する個人のリスク認知と実行との関連について調査した「リスク認知と実行に関する調査」の成果報告書と概要報告を2012年３月に発表した。また、情報処理学会やセキュリティのシンポジウムでの発表を実施した。

（キ）ｃ）情報セキュリティ対策に資する各種ツール・分析等の提供

・2011年６月「情報セキュリティ白書2011」を発行した。

（ク）情報システム調達時等における情報セキュリティの確保の支援【再掲：２（１）①キ】

経済産業省

（ケ）非機能要求の合意手法の活用・普及

経済産業省・ソフトウェア開発環境展（SODEC2011）のパネル展示及びブース内プレゼンテーションを実施し普及に努めた。また、SECセミナー及び関係団体（ITCAなど）と連携したセミナーを開催し、普及に努めた。2012年３月に非機能要求グレードの普及に関する調査報告書を公開した。

（コ）情報セキュリティに関する事故等の事例の収集・共有化

内閣官房・内閣官房において、情報セキュリティに関する事故事例等の有効活用に向けた当面の課題等のとりまとめに向けた検討を実施した。

経済産業省

別添１－33




② 情報セキュリティ安心窓口（仮称）の検討


（ア）情報セキュリティ相談窓口の充実


・内閣官房の情報セキュリティポータルサイト「国民を守る情報セキュリティサイト」において、各府省庁が既に設置している情報セキュリティに関する相談窓口を紹介することによる連携の強化を実施したものの、消費者に対する窓口相談対応力の強化については検討の途上にある。

（イ）情報セキュリティに係る相談窓口の対応と適切かつ的確な情報発信

経済産業省・「情報セキュリティ安心相談窓口」を引き続き運用し、月次レポート等を通じて時節に応じた注意喚起や、対策情報等を発信した。

（ウ）情報セキュリティ・サポーターの育成・活用

総務省・情報セキュリティ月間の行事を利用して、情報セキュリティサポーター育成に関する説明・資料の配布を行った。

別添１－34




③ 個人情報保護の推進

ア　個人情報保護法の見直し


（ア）個人情報保護法の見直し消費者庁及び関係府省庁

・消費者委員会個人情報保護専門調査会における検討の過程で、必要な資料の提出や説明等の協力を行った。

イ　国際的なフレームワークへの対応


（ア）個人情報の保護に関する国際的な取組への対応

消費者庁・APEC等の国際的な取組を把握・分析し、各省庁と連携しつつ、APEC越境プライバシー執行のための協力取決めに加入する等、我が国として必要な対応・措置を検討・実施した。・国際的な会合への出席等を通じ、我が国の個人情報保護法制についての説明等を行うことにより、国際的な理解を求めた。

（イ）データプライバシー保護に関する対応策の研究協力に向けた検討

内閣官房・各種国際会議の場において、データプライバシー保護に関する対応策について意見交換を行った。

別添１－35




④ サイバー犯罪に対する態勢の強化

ア　犯罪取締りのための基盤整備の推進


（ア）サイバー犯罪の取締りのための態勢の強化

警察庁・2011年7月、都道府県警察のサイバー犯罪の捜査指揮を担当する警察職員を対象とした専科教養を実施した。・2012年１月、都道府県警察のサイバー犯罪捜査用資機材の更新・増強を実施した。・サイバー犯罪の取締り体制の抜本的強化のため、2011年度において350人の地方警察官の増員を行うとともに、2012年度政府予算において308人の地方警察官の増員を措置した。

（イ）デジタルフォレンジックに係る取組の推進【再掲：１（１）エ】

警察庁

（ウ）サイバー空間の安全と秩序を維持するための民間との連携強化

警察庁・都道府県警察において、インターネットカフェ連絡協議会等の設置を推進し、匿名性排除のための会員制導入の働き掛けや防犯情報の提供等の情報共有を行うなど、事業者との連携強化を推進した。・インターネット上における児童ポルノの流通防止について、政府における環境整備等を踏まえ、2011年４月からインターネット・サービス・プロバイダがブロッキングを自主的に開始した。

（エ）犯罪に強いIT社会構築のための官民連携に向けた取組の推進

警察庁・有識者、関係事業者、PTAの代表者等で構成する総合セキュリティ対策会議において、「サイバー犯罪捜査における事後追跡可能性の確保」について議論を実施した。・社会全体で不正アクセス防止対策を推進するための検討を行うため、2011年６月に総務省、経済産業省、企業・団体等で構成される「不正アクセス防止対策に関する官民意見集約委員会」を設置し、2011年12月、検討結果を「不正アクセス防止対策に関する行動計画」として取りまとめた。

（オ）サイバー犯罪の取締りのための国際連携の推進【再掲：１（１）エ】

警察庁

（カ）中央当局制度を活用した国際捜査共助の迅速化

法務省及び警察庁

・2012年３月、東京において刑事共助条約を締結済みの大韓民国との間で中央当局間協議を実施した。・更なる刑事共助条約の締結について検討中。

イ　犯罪抑止のための広報啓発の推進


（ア）不正アクセス行為からの防御に関する啓発及び知識の普及

警察庁、総務省及び経済産業省

・国家公安委員会（警察庁）、総務省及び経済産業省において、2011年中の不正アクセス行為の発生状況及びアクセス制御機能に関する研究開発の状況を公表した。・警察庁において、不正アクセス行為対策等の実態調査及びアクセス制御機能に関する技術の研究開発の状況等について、委託調査を実施した。

別添１－36

（イ）情報セキュリティに関する講習の実施

警察庁・都道府県警察において、学校等教育機関、行政機関、企業、一般国民に対し、情報セキュリティに関する意識・知識の向上を図る目的で行っている情報セキュリティに関する講習を、2012年２月のサイバー空間の脅威に対する対処能力の強化のための広報月間において重点的に実施した。

（ウ）ａ）サイバー犯罪の被害防止対策の推進

・出会い系サイトに関連した犯罪の被害防止を図るため、中学生・高校生向けのリーフレットを2011年６月に作成し、各都道府県警察において配布するとともに警察庁ホームページへ掲載した。・携帯電話からのホームページの閲覧の増加を踏まえ、サイバー犯罪の被害防止のための携帯電話専用ページのコンテンツを充実させた。

（ウ）ｂ）サイバー犯罪の被害防止対策の推進

・警察庁セキュリティポータルサイト「@police」において、各種ソフトウェアに係るぜい弱性情報やインターネット定点観測情報等の情報セキュリティ関連情報を適宜提供した。

（エ）サイバーボランティア育成の推進

警察庁・2010年度総合セキュリティ対策会議における提言を踏まえ、サイバー防犯ボランティアとして活動を行う組織・団体等に関する活動内容や実態について調査したほか、サイバー空間におけるボランティアの育成・支援について、実践的な調査研究を進め、課題や改善点、活動上の具体的留意事項等を抽出・整理し、サイバー防犯ボランティアの活動に資する「活動マニュアル」を2012年度に取りまとめるための検討を実施した。

警察庁

別添１－37




① 米国、ASEAN、欧州等との連携強化（二国間、ASEANとの関係強化）


（ア）情報セキュリティ政策に関する二国間政策対話の強化

内閣官房及び関係省庁

・日米サイバーセキュリティ会合（2012年３月）、インターネットエコノミーに関する日米政策協力対話（2011年４月及び2012年１月課長級（TV会議）、2011年６月及び2012年３月局長級）、安全保障分野におけるサイバーセキュリティに関する日米戦略政策対話（2011年９月）、日EU ICT政策対話（2011年６月）を開催するなど、米国、ASEAN各国、EU各国それぞれとの二国間会合を実施し、情報セキュリティに関する連携・取組の強化を図った。

（イ）ａ）日・ASEAN情報セキュリティ政策会議の推進による日・ASEAN関係の連携強化

・第３回日・ASEAN情報セキュリティ政策会議（2011年３月、東京）で決定された「情報セキュリティ意識啓発イニシアティブ」に基づき、第４回日・ASEAN情報セキュリティ政策会議（2011年11月、マレーシア）において、日・ASEAN共同の意識啓発活動を具体的に行うための共通の意識啓発週間の設置、共通のスローガン、ロゴの決定等を行った。

（イ）ｂ）日・ASEAN情報セキュリティ政策会議の推進による日・ASEAN関係の連携強化

・ASEAN各国の情報セキュリティ関係省庁の局長級ら政府職員が参加して、第４回日・ASEAN情報セキュリティ政策会議（2011年11月、マレーシア）を開催した。同会議では、日・ASEANにおける情報セキュリティ意識啓発の取組及び情報セキュリティにおける一層の連携強化等に関する議論を行った。・また、同会議において、2012年10月第２週に、第５回日・ASEAN情報セキュリティ政策会議を日本で開催することを決定した。

（イ）ｃ）日・ASEAN情報セキュリティ政策会議の推進による日・ASEAN関係の連携強化

・ASEAN各国の情報セキュリティ関係省庁の課長級政府職員が来日して、第３回日・ASEAN政府ネットワークセキュリティワークショップ（2011年９月、東京）を開催した。同会合では、日・ASEAN共同での意識啓発活動の具体的推進及び政府におけるキャパシティビルディング等について議論した。

（イ）ｄ）日・ASEAN情報セキュリティ政策会議の推進による日・ASEAN関係の連携強化

・ASEAN各国の情報セキュリティ関係省庁の実務担当者が来日して、第２回日・ASEAN情報セキュリティトレーニング(2011年９月、東京）を開催した。同研修では、実務能力向上のための情報セキュリティの新動向やマルウェア解析手法の講習及び情報セキュリティ演習等を実施した。

（イ）ｅ）日・ASEAN情報セキュリティ政策会議の推進による日・ASEAN関係の連携強化

・第４回日・ASEAN情報セキュリティ政策会議において、2012年10月第２週における共同の意識啓発の取組の実施、日・ASEANのポータルサイト上で、共同した取組の実施及び共通のスローガンやロゴの活用について合意した。また、第４回日・ASEAN政府ネットワークセキュリティワークショップにおいて、各国の具体的な取組について議論することとした。


別添１－38

（イ）ｆ）日・ASEAN情報セキュリティ政策会議の推進による日・ASEAN関係の連携強化

・日本及びASEANのネットワークオペレータ間の情報共有を促進するための人材育成ワークショップについて、総務省が主催し、2012年３月に東京で開催した。

（イ）ｇ）日・ASEAN情報セキュリティ政策会議の推進による日・ASEAN関係の連携強化

・日・ASEANの連携枠組における研究者連携を進めるに当たり、ASEAN各国の研究者も参加しているアジア地域の研究者連携会合であるRAISE会合の場を活用して、研究結果の共有等を行い研究者間の連携を強めた。

（ウ） APECにおける情報セキュリティ分野の連携推進

総務省・2010年10月の第８回APEC電気通信・情報産業大臣会合（沖縄）で定められた「APECサイバーセキュリティ意識啓発の日」に併せて日韓が共催した「ポスター展示イベント」のフォローとして、2011年10月に各国ポスターコンテンツをウェブ掲載して、更に意識啓発を推進した。・2011年９月に韓国で開催された「APECサイバー空間保護セミナー」に参加し、日本の取組を紹介し、各国との意見交換を実施した。・2011年９月にマレーシアで開催された「APEC電気通信・情報作業部会」に参加し、日本の取組を紹介し、各国との意見交換を実施した。

（エ）途上国向け研修・セミナー等の開催

総務省・APT研修「ブロードバンド通信のための情報セキュリティ構築」（2011年11月）において、APT（アジア・太平洋電気通信共同体）加盟国を対象とした情報セキュリティ研修を実施することにより、情報共有を進めるとともに連携を強化した。

（オ）ソフトウェア開発のアウトソーシング先国等におけるセキュアコーディングセミナーの実施

経済産業省・JPCERT/CCにおいて、2011年５月にインドネシア、タイにおいて各国の開発者合計約210名に対し、C/C++セキュアコーディングセミナーを実施するとともに、今後、より効果的な海外向け啓発活動を実施するため、各国における開発現場の課題、開発手法、プロジェクトの傾向等の情報収集を行った。

（カ）アジア域内のセキュアなビジネス環境の構築推進

経済産業省・システムの海外（アジア圏）組織への提供を踏まえ、精度・運用性の向上、管理コストの低減を目的とした「情報セキュリティ対策ベンチマークシステムバージョン4.0の開発」に係る事前確認公募を2012年１月に実施し、開発に着手した。また、アジア各国のベンチマーク利用に関連する状況を調べるため、2011年７月、８月に、シンガポール、タイ、ベトナム、インドを訪問し、直接現地の意見を聴取した。

（キ）海外の組織内CSIRTの構築・運用支援

経済産業省・JPCERT/CCにおいて、アフリカ諸国向けのCSIRTトレーニング（計２回）の講師を務めた。同トレーニングは2011年５月から６月にかけてタンザニアで、11月にカメルーンで実施された。また、アジア地域のCSIRTのFIRST（Forum ofIncident Response and Security Teams）加盟を支援した。

別添１－39

（ク）ａ）各国における対外・対内調整を担うCSIRTの体制強化の支援及び連携の強化

・ミャンマーにおけるCSIRT構築・運用支援のために、JPCERT/CCの専門家をミャンマーのNational CSIRTであるmmCERTに派遣し、９月にはネットワークフォレンジック研修、12月にはマルウエア解析研修を実施した。・大洋州の島嶼国をカバーするCSIRTであるPacCERTの構築・運用支援活動として、JPCERT/CCの職員が独立行政法人国際協力機構（JICA）の短期専門家としてフィジーに赴いた（計４回、延べ７人を派遣）。・JPCERT/CCは2011年５月から６月にかけてタイ及びインドネシアにおいて、両国のNational CSIRT等と連携しながらセキュアコーディングセミナーの開催準備を進め、両国の国内製品開発者とCSIRTの連携関係構築を支援した。また、JPCERT/CCは、2011年５月から６月にかけてタンザニアで、11月にカメルーンで実施されたアフリカ諸国向けのCSIRTトレーニング（計２回）の講師を務めた。

（ク）ｂ）各国における対外・対内調整を担うCSIRTの体制強化の支援及び連携の強化

・JPCERT/CCにおいて、2011年６月、FIRSTの第23回年次会合に参加し、情報収集を行うだけでなく、各国からの参加者と今後の活動について意見交換を実施した。また、欧米をはじめとする 15ヶ国の政府機関、法執行機関、CSIRT 組織で構成される IWWN(International Watch and Warning Network)に参加し、国際的なサイバー攻撃や脆弱性対応について情報共有を行った。また、2011年９月に、ASEAN (東南アジア諸国連合)を中心とする13のチームが参加したASEANサイバーセキュリティ演習 ACID (ASEANCERT Incident Drill) に参加、2011年２月には17の国及び経済地域から22のAPCERT加盟チームが参集して実施した演習に参加して、実際のインシデント対応時の国際間連携の手続きを確認した。さらに、マレーシアにおけるAPWGオペレーション・カンファレンス（2011年４月）、オーストリアにおけるNational CSIRTMeeting（2011年６月）、アジア太平洋地域のインターネット関連組織で構成される団体AP*が韓国の釜山で開いた定期会合AP* Retreat（2011年９月）等、多数の情報セキュリティ又はインシデント対応に関するカンファレンスに参加して、講演や発表を行うなどにより、関係機関との連携強化やCSIRT構築・運用連携活動の支援に努めた。

経済産業省

別添１－40

（ケ）ａ）アジア太平洋地域での早期警戒情報の共有促進

・JPCERT/CCが運営するアジア太平洋地域を主な対象としたインターネット定点観測情報共有システム（TSUBAME）のセンサーは、2010度は19の国・経済地域、22の海外CSIRTに設置されていたが、2011年度は20の国・経済地域、23の海外CSIRTに設置され、稼働中である。同システムにより収集され参加各チーム間で共有しているデータの観測・分析手法の研究等に関する連携の枠組みとして、APCERT（AsiaPacific Computer Emergency ResponseTeam）にTSUBAMEワーキンググループが設置されており、2011年度もTSUBAMEシステムの観測から得られた脅威の動向やインシデントについて、ワーキンググループメンバーとメーリングリストなどを通じて共有し、対応方法についてディスカッションを実施した。・JPCERT/CCから日次で各国に配信している情報セキュリティに関する脅威情報やソフトウエア等の脆弱性に関する分析情報の配信先の拡大及び双方向化については、情報連携に関する覚書締結先国の拡大等と合わせて進めている。

（ケ）ｂ）アジア太平洋地域での早期警戒情報の共有促進

・JPCERT/CCにおいて、APCERT（Asia PacificComputer Emergency Response Team）のメーリングリストを通じ、マルウエアやソフトウエアの脆弱性、その他の攻撃手法、DDoS等に関する状況や分析結果等に関する情報共有を行ったほか、各国からの問い合わせに応じてインシデント対応の実施の方法等に関する情報共有等の活動を実施した。アジア地域における分析情報の共有に関しては、APCERTの年次会合（2012年３月開催）その他の会合や、APCERTに設置されたTSUBAMEワーキンググループにおける活動等を通じて進めている。また、2011年９月に実施したASEANを中心とする13のチームが参加した「ASEANサイバーセキュリティ演習」、及び2012年２月に実施したAPCERT (Asia Pacific Computer EmergencyResponse Team) メンバによる演習も、各国チームがマルウエアや攻撃手法の解析を行い、結果を共有するシナリオで実施された。・また、海外の関係機関と共有している攻撃手法の分析レポートについては、2011年度からは新たにミャンマーとの共有を開始した。

（コ）スパムメール対策の強化【再掲：２（１）④エ】

内閣官房、総務省及び消費者庁

経済産業省

別添１－41




② APEC、ARF、ITU、MERIDIAN、IWWN等国際会合を活用した情報共有体制等の強化


（ア）多国間の枠組み等における国際連携・協力の推進


・APEC、MERIDIAN、IWWN、FIRST等情報セキュリティに係る様々な分野の国際会合に参画して議題の設定への貢献や我が国の情報セキュリティ政策や戦略、ベストプラクティス等の共有を行うことなどを通じて、積極的に情報発信を行った。

（イ）各国における対外・対内調整を担うCSIRTの体制強化の支援及び連携の強化【再掲：２（３）①】

経済産業省

（ウ）アジア地域における情報セキュリティ評価・認証技術向上のための取組

経済産業省・2011年度AISECは、開催国インドの政治的状況変化により未開催であった。しかし、2011年度のCCRAの認証国審査としてマレーシアの審査リーダを務め、マレーシアのCCRAの認証国としての参加が実現され、アジア地域における認証制度推進に大きく寄与した。

（エ）情報セキュリティ分野での国際標準化への参画

総務省経済産業省

・2011年８～９月及び2012年２～３月にスイス・ジュネーブで開催されたITU-T SG17会合に参加し、情報セキュリティCYBEX等の国際標準化の推進を提案した。・情報セキュリティ技術の標準化組織であるISO/IEC JTC1/SC27 (Security techniques)国際標準化会合が2011年４月にシンガポール、2011年10月にナイロビ（ケニア）で開催された。IPAは各作業部会に参加し、国内からの多くのコメントを反映。WG2コンビーナ（主査）、WG3国内委員会主査を務める他、各提案に対する日本側のコメントを反映するエディタを担当した。

（オ）クラウドコンピューティングのセキュリティ【再掲：２（１）④イ】

経済産業省

別添１－42




③ NISCの窓口機能の強化


（ア）ａ）国際的な窓口機能の強化を通じて各国との連携

・情報セキュリティ2011や情報セキュリティ研究開発戦略等の英語版をNISCのWebページに公開するなど、ホームページを通じた国際的な広報、情報発信に努めた。

（ア）ｂ）国際的な窓口機能の強化を通じて各国との連携

・各種会議等への参画で得られた海外の新動向等について、国内の関係機関等との情報共有、還元に努めた。

内閣官房

別添１－43




① 情報セキュリティ関連の研究開発の戦略的推進等


（ア）「情報セキュリティ研究開発戦略」の研究開発の推進


・2011年７月、情報セキュリティ研究開発戦略が策定され、技術戦略専門委員会において、戦略に基づく重要分野における取組を推進している。また、戦略の推進能力を強化するため、2012年３月、「平成23年度情報セキュリティ産業の活性化方策に係る調査報告書」を取りまとめた。

（イ）クラウド対応型セキュリティ技術の研究開発【再掲：２（１）④イ】

総務省

（ウ）量子情報通信ネットワーク技術の研究開発

総務省・独立行政法人情報通信研究機構（NICT）において、将来のどのような技術でも解読不可能な安全性（無条件安全性）を具備した量子暗号からなる量子情報通信ネットワーク技術の確立に向け、産学官連携のもとで研究開発を推進中。

（エ）ネットワーク等の安全性・信頼性確保に資する情報セキュリティ技術に関する研究開発

総務省・マルウェア対策ユーザサポートシステムについて、５教育機関から約80名の一般ユーザーを募って実証実験を実施した。その結果、新種のマルウェアであっても数分以内に簡易的な駆除が可能であることを確認し、システムの有効性を確認した。

（オ）情報通信構成要素の安全性検証技術の高度化に関する研究開発

総務省・ネットワーク機器に実装されているプロトコルを利用して構成される隠蔽通信路のモデル化を行うとともに、隠蔽通信路を構成しにくくする技術とその評価手法を確立するとともに、評価用プロトタイプの構築を行った。

（カ）サイバーセキュリティ研究テストベッドの構築

総務省・サイバーセキュリティ研究基盤（NONSTOP）のフィルタリング技術として、マルウェア検出やPCAP（パケットデータ）検出、圧縮ファイル検出、FIPS140-2の乱数検定に基づく暗号文検出及び通信量制限等の機能を導入するとともに、攻撃トラフィックに対するリアルタムサニタイジング技術を導入し、セキュリティ情報の安全な利活用の基盤を整備した。

（キ） IPv6環境のセキュリティ評価システムの構築【再掲：２（１）③】

総務省

（ク）新世代ネットワーク基盤技術に関する研究開発

総務省・各要素技術の有機的な融合等によるシステム構成技術や多様なネットワークサービスを収容するプラットフォーム構成技術の開発等に取り組んだ。

別添１－44

（ケ）ソフトウェア構築状況の可視化技術の開発普及

文部科学省・2011 年度は、本研究課題の終年度として、ソフトウェアタグ普及の基盤を構築するため、当初の政策どおり、以下を実施した。① ソフトウェアタグの適用事例やモデルケースに基づき、タグ運用基盤の仕様を決定し、リファレンス実装とともにウェブサイト等での公開を行った。② ソフトウェアタグ生成システムの評価と機能拡張、可視化・評価ツール群との連携を進め、実用化サービス基盤の要件をまとめた。③ ソフトウェアタグが国際規格に採用されるよう、規格の対応表の作成等を行った。④ 法的な観点からソフトウェアタグの適用について検討を行うとともに、ユーザー・ベンダ間の紛争解決基準のとりまとめを試み、検討結果を整理した。

（コ）新世代の情報セキュリティ技術等の研究開発

経済産業省・クラウドコンピューティングに関するセキュリティ対策技術、情報家電・スマートグリッド等におけるセキュリティ対策技術及びアクセス制御技術に関して、対症療法的ではなく抜本的な問題解決を目指した新世代情報セキュリティ技術の研究開発を実施した。

（サ）セキュアでグリーンなクラウドコンピューティング環境の整備【再掲：２（１）④イ】

経済産業省

別添１－45




② 情報セキュリティ人材の育成


（ア）「情報セキュリティ人材育成プログラム」の推進


・普及啓発・人材育成専門委員会を2011年7月に設置し、当該委員会において、情報セキュリティ人材育成プログラムの進捗状況をフォローするとともに、同プログラムを踏まえた当面の課題等を整理した報告書を2012年５月に取りまとめた。・民間企業・団体と国（IPA）が連携して「セキュリティキャンプ実施協議会」を2012年２月に発足させ、優れた人材の発掘と教育のための官民協働のフレームワークを構築した。

（イ）ａ）情報セキュリティ専門家等の育成の促進

・内閣官房において、2011年９月に、監査法人パートナー及び大学教授を招き、監査人材の育成を目的とした勉強会を開催し、計160人の政府職員が受講した。

（イ）ｂ）情報セキュリティ専門家等の育成の促進

・ハードウェアの耐タンパー性評価人材の育成に関しては、2010年度に開発した評価用スマートカードを用いた評価実習の実施及び欧州の新技術動向を紹介した。

（ウ）ａ）情報セキュリティ人材育成に係る枠組みの検討

・高度IT人材キャリア形成支援計画策定事業（自立的産学連携運用推進計画）により、そのフレームワークを2012年３月にまとめた。また、高度IT人材キャリア形成支援計画事業（産学実践的講座の普及）では、法政大学（セキュリティ・ネットワーク）と電気通信大学（情報セキュリティシステム）において2012年度から新たに実践講座を開設する。

（ウ）ｂ）情報セキュリティ人材育成に係る枠組みの検討

・高度IT人材キャリア形成支援計画策定事業（次世代高度IT人材モデルキャリア開発計画）により、次世代高度ＩＴ人材像の発出とその育成、キャリアパスまた、それら活用した広報資料を2012年３月末にまとめた。

（ウ）ｃ）情報セキュリティ人材育成に係る枠組みの検討

・共通キャリア・スキルフレームワークの追補版とその活用ガイド発行し（2012年３月）、各スキル標準が有効に活用されるようにした。

（ウ）ｄ）情報セキュリティ人材育成に係る枠組みの検討

・ITPEC事務局会議を2011年９月に開催し、情報処理技術者試験の一層の普及を図っていくことを確認した。

（エ）ａ）情報セキュリティ資格の周知・情報処理技術者試験（情報セキュリティスペシャリスト試験を含む）のポスター掲示、トレインチャンネル等様々な媒体を活用し宣伝を実施した。

（エ）ｂ）情報セキュリティ資格の周知・民間の情報セキュリティ資格に関するセミナー等において、資格の必要性を周知した。

（オ）途上国向け研修・セミナー等の開催【再掲：２（３）①】

総務省


内閣官房及び経済産業省

経済産業省

別添１－46

（カ）情報セキュリティ・サポーターの育成・活用【再掲：２（２）②】

総務省

（キ）サイバー攻撃等対処に向けた人材育成の取組【再掲：１（１）ウ】

防衛省

別添１－47




③ 情報セキュリティガバナンスの確立


（ア）ａ）情報セキュリティガバナンス確立の促進

・外部に公開し難い情報セキュリティに関するノウハウについて、経営者層の間で情報共有を可能にするスキーム｢情報セキュリティガバナンス協議会｣を検討した。・海外のセキュリティツール・サービスの動向を把握するため、市場調査を行い、調査報告書をまとめた。

（ア）ｂ）情報セキュリティガバナンス確立の促進

・東日本大震災の影響や、ISO/IEC27031(2011年３月)の内容を踏まえ、ITサービス継続マネジメントガイドラインを改定し、報告書をまとめた。

（ア）ｃ）情報セキュリティガバナンス確立の促進

・「情報システムの信頼性向上に関するガイドライン　第２版」及び、ガイドラインへの適合状況を可視化する「情報システムの信頼性向上に関する評価指標（第１版）」に準拠したSEC開発の信頼自己診断ツールについて、展示会SODEC/ESEC/ET　2011のパネル展示及びブース内プレゼンテーションを実施し普及に努めた。信頼性評価指標のデータ収集及び分析結果（2010年度調査）を新たに指標改善ポイントを追加し公開した（2012年３月）。

（ア）ｄ）情報セキュリティガバナンス確立の促進

・2011年３月に信頼性自己診断ツールを公開した。

（イ）ａ）企業における情報セキュリティ対策の支援

・民間企業の情報処理の実態を把握するため、「平成23年情報処理実態調査」を2012年１月から実施した。

（イ）ｂ）企業における情報セキュリティ対策の支援

・情報セキュリティ監査企業台帳、システム監査企業台帳のそれぞれについて、台帳申請の電子化により登録者の負荷軽減を図った。・監査企業台帳の中で、各企業が助言型監査、保証型監査のいずれを対応できるのか明確にするために、前年度の監査の実績の情報を提供しており、保証型監査を促進につなげた。・監査企業台帳の利便性向上のため、利用ガイドラインを作成し、HP上に公表した。

（イ）ｃ）企業における情報セキュリティ対策の支援

・情報セキュリティ報告書モデルの普及を図るため、企業グループにおける情報セキュリティガバナンスモデル報告書をHP上に掲載し、情報セキュリティ報告書作成を推進した。

（ウ）「情報システム・モデル取引・契約書」の活用・普及

経済産業省・業界団体を主体として「情報システム取引者育成プログラム」の普及・活用を促進した。

経済産業省

経済産業省

別添１－48




① サイバー空間の安全性・信頼性を向上させる制度の検討等


（ア）サイバー刑法の円滑な施行法務省・「情報処理の高度化等に対処するための刑法等の一部を改正する法律」の手続法規定について、2012年６月までの施行を目指して準備を進め、同年６月に施行された。

（イ）サイバー犯罪条約の締結に向けた協力

外務省・サイバー犯罪条約の締結に向けた作業を実施した。

（ウ）サイバー空間の安全性・信頼性を向上させる制度の検討

内閣官房・「サイバー空間の安全性・信頼性向上のための課題等について」（2011年３月）等を踏まえ、サイバー犯罪に対する適切な対処等のため「情報処理の高度化等に対処するための刑法等の一部を改正する法律」の施行（2011年７月）、不正アクセス行為の手口の変化等に対応するため「不正アクセス行為の禁止等に関する法律の一部情報セキュリティ人材育成の課題等を整理するため「情報セキュリティ人材育成プログラムを踏まえた2012年度以降の当面の課題等について」（2012年５月普及啓発・人材育成専門委員会）の作成等が行われた。

（エ）安全性確保のためのソフトウェア等のリバースエンジニアリングの適法性の明確化【再掲：２（１）④エ】

文部科学省

（オ）企業における電子署名利活用の普及促進【再掲：２（１）④キ】

総務省、法務省及び経済産業省

別添１－49




② 各国の情報セキュリティ制度の比較検討


（ア）各国のセキュリティ法制度の調査

内閣官房・欧米やアジア等各国の情報セキュリティ制度の整理・動向把握に努めて各国を取り巻く課題や連携方策等について随時検討を行った。

別添１－50

　　Ⅴ　東日本大震災を踏まえた情報セキュリティ政策

（１）災害時に強靭な情報通信システムの構築


（ア）政府機関における適切な物理的セキュリティ対策の検討

内閣官房・内閣官房において、民間事業者等における先進的事例等を調査し、各府省庁における適切な情報の取扱いの区域に係るセキュリティ対策の在り方の検討を行い、「政府機関の情報セキュリティ対策のための統一基準群（平成24年度版）」の改定を行った。

（イ）政府機関統一基準群の適切かつ円滑な運用等に係る方策の検討

内閣官房・内閣官房において、東日本大震災の発生や標的型攻撃の増加、IPv6等の技術動向等、技術や環境の変化への対応を図るとともに、情報セキュリティ対策の円滑な運用・実効性の向上等を図るため、「政府機関の情報セキュリティ対策のための統一基準群（平成24年度版）」の改定を行った。・内閣官房において、各府省庁で保有する情報資産の範囲及びその取扱方法の明確化や、政府機関統一基準群上のリスク評価手法の具体化を図ることなどを目的に、政府機関におけるリスク・マネジメント手法の在り方を検討した。

（ウ）ａ）業務継続能力の強化・各府省庁において、「中央省庁における情報システム運用継続計画ガイドライン」を活用し、2011年度末までに必要な情報システムについて運用を継続するために必要な計画を策定した。

（ウ）ｂ）業務継続能力の強化・内閣官房において、東日本大震災による政府機関の情報システムへの影響を調査・分析し、優先的に取り組むべき対策等を盛り込んだ報告書を作成し、各府省庁に提供するとともに、有識者による検討及び終報告を踏まえ、ガイドラインの改定を行った。・内閣官房において、各府省庁の情報システム運用継続計画に係る対策レベルの維持・継続的改善に向け、当該計画の評価手法について検討を行った。

（エ）重要インフラ分野におけるITシステムの再検証

内閣官房 2011年度共通脅威分析において、既往調査で検証した重要インフラ分野間の相互依存性と、東日本大震災における重要インフラ分野の被害の連鎖状況の整合性について、重要インフラ事業者等へのアンケート及び個別打合せを実施し結果を公表した。

（オ）ａ）重要インフラで利用される情報システムの信頼性向上のための支援体制の整備

・「システム障害事例データベース」を継続してまとめ、SECジャーナル（26号、27号）に掲載した。また、事業者の取組みについての調査結果をWGで議論・整理し、「障害管理の取組みに関する調査」報告書としてWeb公開予定である。

（オ）ｂ）重要インフラで利用される情報システムの信頼性向上のための支援体制の整備【再掲：２（１）②】


経済産業省

別添１－51

（カ）大災害発生直後の情報通信システムの在り方の検討


・内閣官房において、東日本大震災を踏まえた情報セキュリティ政策を検討するため、災害発生直後の情報通信システムの在り方等について、専門家を集めて検討会を行い、2012年３月、「平成23度耐災害性を強化した情報システムの在り方等に関する調査報告書」を取りまとめた。・内閣官房において、東日本大震災における政府機関の情報システムへの影響について分析・調査を行い、災害発生時に有効な対策の導出やモバイル端末を活用した情報伝達の在り方等について検討を行った。・内閣官房において、東日本大震災が重要インフラの情報システムの安定運用に及ぼした影響及び重要インフラサービスに波及した状況を把握するため、非常時における情報システム、情報伝達の在り方等について、重要インフラ事業者及び専門家へのヒアリング調査等を実施し、2012年３月、「東日本大震災における重要インフラの情報システムに係る対応状況等に関する調査報告書」を取りまとめた。・総務省において、緊急事態における通信手段の確保の在り方を検討するため、「大規模災害等緊急事態における通信確保の在り方に関する検討会」を開催し、2011年12月開催の第８回会合において、終取りまとめを行い、その結果の公表を行った。

（キ）情報セキュリティ技術の耐災害性の向上

内閣官房・内閣官房において、東日本大震災を踏まえた情報セキュリティ政策を検討するため、情報セキュリティ技術の耐災害性の向上等について、専門家を集めて検討会を行い、2012年３月、「2011年でお耐災害性を強化した情報システムの在り方等に関する調査報告書」を取りまとめた。

別添１－52


（２）「リスク・マネジメント」、「リスク・コミュニケーション」の確立


（ア）東日本大震災による情報システムへの影響分析及び評価

内閣官房・内閣官房において、東日本大震災による政府機関の情報システムへの影響を調査・分析し、優先的に取り組むべき対策等を盛り込んだ報告書を作成し、各府省庁に提供するとともに、有識者による検討及び終報告を踏まえ、ガイドラインの改定を行った。

（イ）東日本大震災を踏まえたリスク・マネジメント手法の検討

内閣官房・内閣官房において、東日本大震災が重要インフラの情報システムの安定運用に及ぼした影響及び重要インフラサービスに波及した状況を把握するため、災害時におけるリスク・コミュニケーションの在り方等について、重要インフラ事業者及び専門家へのヒアリング調査等を実施し、2012年３月、「東日本大震災における重要インフラの情報システムに係る対応状況等に関する調査報告書」を取りまとめた。・内閣官房において、各府省庁で保有する情報資産の範囲及びその取扱方法の明確化や、政府機関統一基準群上のリスク評価手法の具体化を図ることなどを目的に、政府機関におけるリスク・マネジメント手法の在り方を検討した。・内閣官房において、東日本大震災が重要インフラの情報システムの安定運用に及ぼした影響及び重要インフラサービスに波及した状況を把握するため、災害時におけるリスク・コミュニケーションの在り方等について、重要インフラ事業者及び専門家へのヒアリング調査等を実施し、2012年３月、「東日本大震災における重要インフラの情報システムに係る対応状況等に関する調査報告書」を取りまとめた。

（ウ）個人情報等の柔軟管理方法等の検討


・内閣官房において、東日本大震災を踏まえた情報セキュリティ政策を検討するため、個人情報等の柔軟管理方法等について、専門家を集めて検討会を行い、2012年３月、「平成23年度耐災害性を強化した情報システムの在り方等に関する調査報告書」を取りまとめた。

（エ）重要インフラ事業者間の相互連携の拡充

内閣官房・内閣官房において、東日本大震災が重要インフラの情報システムの安定運用に及ぼした影響及び重要インフラサービスに波及した状況を把握するため、応急・復旧対応における事業者間、分野間の連携の在り方等について、重要インフラ事業者及び専門家へのヒアリング調査等を実施し、「東日本大震災における重要インフラの情報システムに係る対応状況等に関する調査報告書」を取りまとめた。

（オ）重要インフラ分野間のリスク・コミュニケーションの促進


・内閣官房において、関係機関との意見交換会を実施した。また、重要インフラ事業者等とリスクコミュニケーションを行う場として、共通脅威分析及び分野横断的演習検討会を計３回実施した。また、セプターカウンシルにおいて、重要インフラ事業分野のＩＴシステムの利用現場や施設等の見学や紹介等の活動を５回行った。これらの場において、震災から得られた知見等についても共有した。

別添１－53

（カ）「安全基準等」策定指針への震災関連の知見の反映


・内閣官房において、「東日本大震災における重要インフラの情報システムに係る対応状況等に関する調査」で得られた知見・教訓等について、指針及び対策編へ反映すべき事項を整理し、「東日本大震災における重要インフラの情報システムに係る対応状況等に関する調査報告書」を取りまとめた。

（キ）重要インフラ分野におけるリスク・マネジメントの在り方の検討

内閣官房・内閣官房において、東日本大震災が重要インフラの情報システムの安定運用に及ぼした影響及び重要インフラサービスに波及した状況を把握するため、システムの堅ろう化やデータ保全等のリスク・マネジメントの在り方等について、重要インフラ事業者及び専門家へのヒアリング調査等を実施し、「東日本大震災における重要インフラの情報システムに係る対応状況等に関する調査報告書」を取りまとめた。

別添１－54


（３）情報システム全体の「ニュー・ディペンダビリティ」の確保


（ア）「情報セキュリティ研究開発戦略」の推進


・2011年７月、情報セキュリティ研究開発戦略が策定され、技術戦略専門委員会において、戦略に基づく重要分野における取組を推進している。また、戦略の推進能力を強化するため、2012年３月、「平成23年度情報セキュリティ産業の活性化方策に係る調査報告書」を取りまとめた。

（イ）システムのセキュリティ設定を上位から下位まで自動保証する技術の研究開発の推進

総務省・ユーザのネットワーク利用形態とデバイスの設定状況に応じたリスクを、国際的に流通している脆弱性データベース内のスコアから導出し、さらにユーザが所有するデバイス上で可視化するフレームワークを確立し、プロトタイプシステムにおける動作確認を行った。また、本フレームワークの基礎となる脆弱性データの交換システムの標準化とプロトタイプ構築を行った。

（ウ）先端のグリーンクラウド基盤構築に向けた研究開発

総務省・先端のグリーンクラウド基盤技術について、プロトタイプを開発し、性能検証を実施した。また、研究成果を広く発表する場として「クラウドネットワークシンポジウム2012」を開催した（約290人が参加）。

（エ）新世代ネットワーク基盤技術に関する研究開発

総務省・2011年度は、各要素技術の有機的な融合等によるシステム構成技術や多様なネットワークサービスを収容するプラットフォーム構成技術の開発等に取り組んだ。

別添１－55

別添２－１

別添２各情報セキュリティ政策領域における評価に当たり考

慮すべき現状

２（１）② 重要インフラの基盤強化

重要インフラ事業者等の取組の検証

2011 年度 2010 年度

検証レベルを逸脱した IT 障害の件数 20 167

安全基準等の整備及び浸透状況

2011年度 2010年度

事業者における基準・内規の制定率 93% 95%

情報共有体制の強化

2011 年度 2010 年度

NISC が発信した情報件数 34 49

重要インフラ所管省庁を通じて連絡のあった

重要インフラの IT 障害件数

43 174

共通脅威分析

2011 年度 2010 年度

分析内容が情報セキュリティ対策に役立った

と回答した事業者等の割合

89% 65%

分野横断的演習

2011 年度 2010 年度

参加規模 37 組織 131 人 38 組織 141 人

有意義と回答した事業者等の割合 66% 80%

環境変化への対応

2011年度 2010年度

重要インフラにおける情報セキュリティ政策を紹介した

セミナー等の回数

8 6

セプターカウンシルや分野横断的演習等の関係主体間の

コミュニケーション機会の回数

8 8

別添２－２

２（１）③ 情報セキュリティ産業の振興

国内情報セキュリティ市場規模

（情報セキュリティ市場調査報告書：日本ネットワークセキュリティ協会）

2010 年1 2009 年2

合計（単位：百万円） 664,199 682,061

情報セキュリティツール 354,216 357,097

情報セキュリティサービス 309,983 324,964

２（１）④ その他の基盤強化

スマートフォンの利用状況

（情報セキュリティの脅威に対する意識調査：情報処理推進機構）

2011 年 2010 年

回答数 5,240 5,019

利用している 18.6% 9.3%

利用していない 81.4% 90.7%

スマートフォンに必要だと思うセキュリティ対策3


2011 年 2010 年

回答数 973 468

OS（ｵﾍﾟﾚｰﾃｨﾝｸﾞｼｽﾃﾑ）のアップデート4 64.2% －

信頼できる場所からアプリをインストールする４ 63.9% －

セキュリティソフトの導入5 48.0% 53.4%

アプリをインストールする前にアクセス許可を確認する

（Android のみ）４ 28.0% －

データ（個人情報等）の暗号化による紛失時の対策 20.3% 43.6%

リモートロック等の不正利用防止機能 18.9% 36.3%

携帯アプリに対するキャリア等の第三者による事前検査 18.0% 31.0%

その他 0.9% 0.6%

セキュリティ対策は必要だと思わない 7.0% 16.0%

1 実績見込み 2 推定実績 3 現在スマートフォンを利用している人ベース。 4 2011 年の質問から新規追加。 5 2011 年の調査から質問変更。2010 年は「ウイルス対策ソフト」としてカウント。

別添２－３

クラウド・コンピューティング利用に伴う外部への支払い費用（年間事業収入規模別）

（情報処理実態調査：経済産業省）

平成 22 年度6 平成 21 年度7 8

回答社数

発生した

回答社数

発生した

合計（社） 4,732 461 9.7% 4,815 405 8.4%

～１億円以下

12 1 8.3% 22 1 4.5%

１億円超～

５億円以下 68 ― ― 82 5 6.1%

５億円超～

10 億円以下 271 12 4.4% 218 8 3.7%

10 億円超～

20 億円以下 533 30 5.6% 538 20 3.7%

20 億円超～

100 億円以下 1,716 120 7.0% 1,782 144 8.1%

100 億円超～

1,000 億円以下 1,459 172 11.8% 1,447 124 8.6%

1,000 億円超～

409 99 24.2% 421 70 16.6%

不明 264 27 10.2% 305 33 10.8%

6 平成 21 年度実績データ（平成 22 年情報処理実態調査結果報告書）。 7 平成 20 年度実績データ（平成 21 年情報処理実態調査結果報告書）。 8 「クラウド・コンピューティング利用」ではなく、「SaaS 利用」としてアンケート実施。

別添２－４

クラウド・コンピューティング利用時の SLA 締結状況（年間事業収入規模別）


平成 22 年度 6 平成 21 年度 7 8

回答社数

締結している

回答社数

締結している

合計（社） 439 178 40.5% 218 165 43.1%

～１億円以下

1 ― ― 1 ― ―

１億円超～

５億円以下 ― ― ― 4 2 50.0%

５億円超～

10 億円以下 12 4 33.3% 8 5 62.5%

10 億円超～

20 億円以下 29 9 31.0% 14 4 28.6%

20 億円超～

100 億円以下 110 37 33.6% 141 49 34.8%

100 億円超～

1,000 億円以下 168 69 41.1% 121 55 45.5%

1,000 億円超～

95 50 52.6% 65 40 61.5%

不明 24 9 37.5% 29 10 34.5%

クラウドサービスの利用状況

（通信利用動向調査：総務省）

クラウドコンピューティングサービスの利用状況

平成 23 年末平成 22 年末

集計企業数 1,892 2,067

利用している 21.6% 14.2%

全社的に利用している 9.2% 4.2%

一部の事業所又は部門で利用している 12.4% 10.0%

利用していない 58.4% 59.9%

利用していないが、今後利用する予定がある 22.1% 21.9%

利用していないし、今後も利用する予定もない 36.3% 38.0%

クラウドサービスについてよく分からない 20.0% 25.9%

別添２－５

クラウドサービスを利用しない理由



集計企業数 727 790

必要がない9 42.3% ―

セキュリティに不安がある 33.7% 37.9%

クラウドの導入に伴う既存システムの改修コストが大きい 23.4% 36.4%

メリットが分からない、判断できない 9 22.7% ―

ネットワークの安定性に対する不安がある 15.1% 19.7%

ニーズに応じたアプリケーションのカスタマイズができない 10.0% 26.2%

通信費用がかさむ 9.4% 10.5%

法制度が整っていない 9 5.6% ―

クラウドの導入によって自社コンプライアンスに支障をきたす 5.6% 8.3%

その他 9.2% 29.2%

無回答 ― 2.2%

9 平成 23 年の質問から新規追加。

別添２－６

安全なサーバ数10

（ICT 基盤に関する国際比較調査：総務省）

平成 23 年平成 22 年

日本 48.0 48.4

韓国 54.9 57.1

中国 38.7 37.4

シンガポール 46.1 ─

台湾 ─ 46.3

イタリア 40.9 39.7

カナダ 56.3 58.3

オーストリア 50.9 49.1

オランダ 71.1 67.5

フィンランド 56.5 54.4

スイス 65.4 61.1

オーストラリア 63.8 63.1

フランス 43.0 41.8

米国 59.3 63.6

ニュージーランド 59.9 59.9

ポルトガル 41.2 40.3

イギリス 58.6 56.6

香港 ─ ─

ドイツ 51.1 51.0

スペイン 42.0 41.4

ベルギー 45.7 44.0

デンマーク 65.3 62.2

スウェーデン 56.7 55.6

インド 38.7 37.4

ブラジル 39.3 37.9

ロシア 39.0 37.6

南アフリカ 39.6 38.2

エストニア 44.9 ─

ノルウェー 62.3 ─

ＵＡＥ 42.1 ─

チリ 39.4 ─

マレーシア 39.3 ─

10 偏差値。100 万人当たりの暗号化通信をブラウザとの間で行えるサーバの数。

別添２－７

インシデント報告関連件数

（JPCERT/CC インシデント報告対応レポート：JPCERT/CC）

2011 年度 2010 年度

報告件数 8,485 9,865

インシデント件数 8,112 10,467

調整件数 2,802 2,875

コンピュータウイルス届出状況

（情報処理推進機構）

2011 年度 2010 年度

届出（件） 11,611 12,903

コンピュータ不正アクセス届出状況


2011 年度 2010 年度

届出（件） 101 159

被害あり 78 98

被害なし 23 61

相談（件） 523 536

被害あり 134 196

被害なし 389 340

合計（件） 624 695

被害あり 212 294

被害なし 412 401

脆弱性関連情報の届出状況


2011 年度 2010 年度

合計（件） 1,013 423

ソフトウェア製品 179 115

ウェブサイト 834 308

別添２－８

BtoB EC（企業間電子商取引）市場規模について

（我が国情報経済社会における基盤整備：経済産業省）

2010 年 2009 年

広義市場規模11（兆） 256 205

狭義市場規模12（兆） 169 131

EC 化率13 15.6% 13.7%

BtoC EC（消費者向け電子商取引）市場規模について

（我が国情報経済社会における基盤整備：経済産業省）

2010 年 2009 年

市場規模（兆） 7.8 6.7

EC 化率 13 2.5% 2.1%

11 「コンピュータ・ネットワーク・システムを介して商取引が行われ、かつその成約金額

が捕捉されるもの」。ここで商取引行為とは、「経済主体間での財の商業的移転に関わる、

受発注者間の物品、サービス、情報、金銭の交換」をさす。狭義の EC に加え、VAN・専用

線等、TCP/IP プロトコルを利用していない従来型 EDI（例．全銀手順、EIAJ 手順などを

用いたもの）が含まれる。 12 「インターネット技術を用いたコンピュータ・ネットワーク・システムを介して商取引

が行われ、かつその成約金額が捕捉されるもの」。ここで商取引行為とは、「経済主体間で

の財の商業的移転に関わる、受発注者間の物品、サービス、情報、金銭の交換」をさす。

「インターネット技術」とは、TCP/IP プロトコルを利用した技術を指しており、公衆回

線上のインターネットの他、エクストラネット、インターネット VPN、IP-VPN 等が含まれ

る。 13 全ての商取引における、電子商取引（EC）による取引の割合。

別添２－９

情報セキュリティトラブルの重要性に対する認識


平成 22 年度14 平成 21 年度15

非常に重要である

どちらかといえば

重要である

重要である

わからない

非常に重要である

どちらかといえば

重要である

重要ではない

わからない

システムの停止

内部要因によるシステムの停止 86.3% 12.3% 0.6% 0.9% 86.2% 11.9% 0.8% 1.1%

外部要因（地震、火災等の問題）によるシス

テムの停止 75.7% 22.1% 1.1% 1.1% 75.9% 21.3% 1.3% 1.5%

その他システムトラブル

DoS 攻撃 53.9% 34.2% 5.8% 6.1% 53.1% 34.6% 5.4% 6.9%

スパムメールの中継利用等 54.8% 34.8% 5.1% 5.4% 53.9% 35.0% 5.1% 6.0%

ホームページやファイル、データの改ざん 66.6% 27.3% 3.4% 2.7% 65.3% 27.5% 3.6% 3.5%

不正アクセス

IP・メールアドレス詐称 63.3% 29.8% 3.8% 3.1% 61.8% 30.8% 3.8% 3.6%

リソースの不正使用 60.8% 30.6% 4.3% 4.4% 59.5% 31.6% 3.9% 5.0%

内部関係者による不正アクセス 73.2% 22.2% 2.3% 2.3% 72.1% 22.7% 2.3% 2.9%

コンピュータウイルス

ウイルスなどの感染 78.4% 19.8% 0.9% 0.9% 76.9% 21.1% 0.9% 1.1%

トロイの木馬 73.6% 23.0% 1.3% 2.0% 72.0% 24.1% 1.3% 2.5%

重要情報の漏えい

コンピュータウイルス、ファイル共有ソフト

に起因する情報漏えい 86.7% 11.2% 0.9% 1.2% 85.9% 11.9% 0.9% 1.3%

不正アクセスによる情報漏えい 84.5% 13.1% 1.1% 1.3% 83.7% 13.5% 1.5% 1.3%

内部者による情報漏えい 86.5% 11.4% 1.0% 1.1% 86.1% 11.6% 1.2% 1.1%

委託先による情報漏えい 80.3% 15.0% 2.4% 2.2% 79.8% 15.3% 2.6% 2.3%

ノートパソコン及び携帯記憶媒体等の盗

難・紛失 79.4% 17.6% 1.7% 1.3% 78.1% 18.9% 1.8% 1.3%

その他

ホームページ上での誹謗中傷等 44.3% 41.5% 9.2% 5.0% 44.1% 41.6% 9.3% 4.9%

その他 26.2% 29.1% 8.5% 36.2% 27.1% 29.0% 8.4% 35.5%

14 平成 21 年度実績データ（平成 22 年情報処理実態調査結果報告書）。 15 平成 20 年度実績データ（平成 21 年情報処理実態調査結果報告書）。

別添２－１０

情報セキュリティの対策状況（リスク分析）


対策実施状況

平成 22 年度 14 平成 21 年度 15

回答数割合回答数割合

回答企業数 4,400 ― 4,448 ―

既に実施している 1,634 37.1% 1,503 33.8%

トラブルがあったので対策を講じた 59 1.3% 37 0.8%

実施を検討している 361 8.2% 371 8.3%

必要性を感じるが、未実施 1,892 43.0% 2,040 45.9%

必要性を感じず、未実施 513 11.7% 534 12.0%

セキュリティ向上への寄与

平成 22 年度 14 平成 21 年度 15


回答企業数 1,607 ― 1,490 ―

寄与した 1,263 78.6% 1,140 76.5%

寄与しなかった 33 2.1% 27 1.8%

わからない 311 19.4% 323 21.7%

情報セキュリティの対策状況（セキュリティポリシーの策定）


対策実施状況

平成 22 年度 14 平成 21 年度 15


回答企業数 4,489 ― 4,509 ―

既に実施している 2,424 54.0% 2,222 49.3%


実施を検討している 366 8.2% 428 9.5%

必要性を感じるが、未実施 1,334 29.7% 1,463 32.4%

必要性を感じず、未実施 365 8.1% 396 8.8%


平成 22 年度 14 平成 21 年度 15


回答企業数 2,286 ― 2,140 ―

寄与した 1,765 77.2% 1,618 75.6%

寄与しなかった 49 2.1% 45 2.1%

わからない 472 20.6% 477 22.3%

別添２－１１

情報セキュリティの対策状況（情報セキュリティ報告書の作成）


対策実施状況

平成 22 年度 14 平成 21 年度 15


回答企業数 4,413 ― 4,457 ―

既に実施している 837 19.0% 709 15.9%


実施を検討している 322 7.3% 367 8.2%

必要性を感じるが、未実施 2,213 50.1% 2,336 52.4%

必要性を感じず、未実施 1,041 23.6% 1,045 23.4%


平成 22 年度 14 平成 21 年度 15


回答企業数 902 ― 807 ―

寄与した 617 68.4% 519 64.3%

寄与しなかった 34 3.8% 28 3.5%

わからない 251 27.8% 260 32.2%

情報セキュリティの対策状況（事業継続計画（BCP）の作成）


対策実施状況

平成 22 年度 14 平成 21 年度 15


回答企業数 4,385 ― 4,404 ―

既に実施している 987 22.5% 806 18.3%


実施を検討している 592 13.5% 612 13.9%

必要性を感じるが、未実施 2,049 46.7% 2,167 49.2%

必要性を感じず、未実施 757 17.3% 819 18.6%


平成 22 年度 14 平成 21 年度 15


回答企業数 1,221 ― 1,053 ―

寄与した 751 61.5% 626 59.4%

寄与しなかった 49 4.0% 44 4.2%

わからない 421 34.5% 383 36.4%

別添２－１２

情報セキュリティの対策状況（全体的なセキュリティ管理者の配置）


対策実施状況

平成 22 年度 14 平成 21 年度 15


回答企業数 4,482 ― 4,524 ―

既に実施している 2,330 52.0% 2,167 47.9%


実施を検討している 314 7.0% 327 7.2%

必要性を感じるが、未実施 1,469 32.8% 1,630 36.0%

必要性を感じず、未実施 369 8.2% 400 8.8%


平成 22 年度 14 平成 21 年度 15


回答企業数 2,163 ― 2,008 ―

寄与した 1,707 78.9% 1,559 77.6%

寄与しなかった 42 1.9% 46 2.3%

わからない 414 19.1% 403 20.1%

情報セキュリティの対策状況（部門ごとのセキュリティ管理者の配置）


対策実施状況

平成 22 年度 14 平成 21 年度 15


回答企業数 4,445 ― 4,492 ―

既に実施している 1,671 37.6% 1,555 34.6%


実施を検討している 319 7.2% 347 7.7%

必要性を感じるが、未実施 1,743 39.2% 1,836 40.9%

必要性を感じず、未実施 712 16.0% 754 16.8%


平成 22 年度 14 平成 21 年度 15


回答企業数 1,643 ― 1,533 ―

寄与した 1,295 78.8% 1,152 75.1%

寄与しなかった 32 1.9% 50 3.3%

わからない 316 19.2% 331 21.6%

別添２－１３

情報セキュリティの対策状況（内部統制の整備強化）


対策実施状況

平成 22 年度 14 平成 21 年度 15


回答企業数 4,468 ― 4,503 ―

既に実施している 1,924 43.1% 1,739 38.6%


実施を検討している 519 11.6% 614 13.6%

必要性を感じるが、未実施 1,628 36.4% 1,733 38.5%

必要性を感じず、未実施 397 8.9% 417 9.3%


平成 22 年度 14 平成 21 年度 15


回答企業数 1,957 ― 1,836 ―

寄与した 1,514 77.4% 1,311 71.4%

寄与しなかった 41 2.1% 37 2.0%

わからない 402 20.5% 488 26.6%

情報セキュリティの対策状況（ISO/IEC15408 認証取得製品の導入）


対策実施状況

平成 22 年度 14 平成 21 年度 15


回答企業数 4,267 ― 4,359 ―

既に実施している 434 10.2% 354 8.1%

トラブルがあったので対策を講じた 2 0.0% 1 ―

実施を検討している 146 3.4% 187 4.3%

必要性を感じるが、未実施 1,515 35.5% 1,617 37.1%

必要性を感じず、未実施 2,172 50.9% 2,201 50.5%


平成 22 年度 14 平成 21 年度 15


回答企業数 436 ― 396 ―

寄与した 302 69.3% 248 62.6%

寄与しなかった 10 2.3% 10 2.5%

わからない 124 28.4% 138 34.8%

別添２－１４

情報セキュリティの対策状況（外部専門家による定期的な情報セキュリティ監査）


対策実施状況

平成 22 年度 14 平成 21 年度 15


回答企業数 4,388 ― 4,456 ―

既に実施している 695 15.8% 634 14.2%


実施を検討している 134 3.1% 155 3.5%

必要性を感じるが、未実施 1,734 39.5% 1,782 40.0%

必要性を感じず、未実施 1,825 41.6% 1,885 42.3%


平成 22 年度 14 平成 21 年度 15


回答企業数 638 ― 600 ―

寄与した 543 85.1% 512 85.3%

寄与しなかった 9 1.4% 11 1.8%

わからない 86 13.5% 77 12.8%

情報セキュリティの対策状況（内部による定期的な情報セキュリティ監査）


対策実施状況

平成 22 年度 14 平成 21 年度 15


回答企業数 4,415 ― 4,476 ―

既に実施している 1,348 30.5% 1,197 26.7%


実施を検討している 294 6.7% 331 7.4%

必要性を感じるが、未実施 1,878 42.5% 1,991 44.5%

必要性を感じず、未実施 895 20.3% 957 21.4%


平成 22 年度 14 平成 21 年度 15


回答企業数 1,284 ― 1,173 ―

寄与した 1,100 85.7% 975 83.1%

寄与しなかった 22 1.7% 20 1.7%

わからない 162 12.6% 178 15.2%

別添２－１５

情報セキュリティ対策のセキュリティ向上以外の効果


平成 22 年度 14 平成 21 年度 15


回答企業数 3,466 ― 3,453 ―

顧客・取引先からの評価の上昇 853 24.6% 803 23.3%

市場や投資家からの評価の上昇 100 2.9% 97 2.8%

製品やサービスの質の向上 333 9.6% 290 8.4%

業務効率や生産性の向上 466 13.4% 492 14.2%

特に効果はなかった 1,369 39.5% 1,465 42.4%

その他 851 24.6% 771 22.3%

情報セキュリティ対策の阻害要因


平成 22 年度 14 平成 21 年度 15


回答企業数 4,706 ― 4,755 ―

実施する知識・ノウハウがない 1,119 23.8% 1,194 25.1%

手間・コストがかかる 3,066 65.2% 3,067 64.5%

予算がとれない 1,246 26.5% 1,266 26.6%

必要性や効果がわからない 454 9.6% 496 10.4%

対策をどこまでやるべきかがわからない 1,885 40.1% 1,938 40.8%

情報セキュリティガバナンスが確立されていない 697 14.8% 739 15.5%

トップの理解・協力が得られない 355 7.5% 355 7.5%

従業員の理解・協力が得られない 531 11.3% 538 11.3%

企業のセキュリティ対策方針が明確になっていない 781 16.6% 835 17.6%

専門家（CIO や CISO）がいない 778 16.5% 810 17.0%

その他 123 2.6% 120 2.5%

問題はない 549 11.7% 512 10.8%

別添２－１６

セキュリティ対策ソフト導入状況

（国内における情報セキュリティ事象被害状況調査：情報処理推進機構）

ネットワークサーバ


回答数 1,642 1,658

９割以上に導入済 87.0% 84.1%

半数に導入済 1.9% 2.9%

半数未満に導入済 2.3% 2.8%

導入していない 5.3% 5.4%

無回答 3.4% 4.7%

ローカルサーバ


回答数 1,642 1,658

９割以上に導入済 81.1% 76.1%

半数に導入済 4.7% 4.8%



無回答 2.4% 5.6%

各自クライアント（パソコン）


回答数 1,642 1,658

９割以上に導入済 92.6% 87.4%

半数に導入済 2.7% 4.6%



無回答 0.7% 2.5%

ISMS 認証取得組織数

（日本情報経済社会推進協会）

平成 23年度平成 22年度

組織数 4,015 3,787

ITSMS 認証取得組織数

（日本情報経済社会推進協会）

平成 23年度平成 22 年度

組織数 159 149

別添２－１７

umber of Certificates Per Country

（ISMS International User Group）

2012 年４月 2011 年４月

順位取得数順位取得数

日本 1 4,061 1 3,790

イギリス 2 549 4 460

インド 3 545 2 516

中国 4 504 3 495

台湾 5 549 5 410

ドイツ 6 209 6 154

チェコ 7 111 8 101

韓国 8 106 7 106

米国 9 104 9 99

イタリア 10 86 12 64

別添２－１８

２（２）① 普及・啓発活動の充実・強化

情報セキュリティに係る政府系ウェブサイトへのアクセス状況16

（内閣官房、警察庁、総務省、経済産業省）

府省庁等サイト名 2011 年度評価 2010 年度評価

内閣官房情報セキュリティセンター

ホームページ

926,173 人17 817,991 人 17

国民を守る情報セキュリティ

サイト

215,352 人 17 140,776 人18

警察庁サイバー犯罪対策 980,584 件 17 1,697,351 件 17

＠police 1,081,780 件 17 1,349,142 件 17

総務省国民のための情報セキュリテ

ィサイト

250,958 件19 138,869 件 19

経済産業省情報セキュリティに関する政

策・緊急情報

1,434,490 件 19 1,336,114 件 19

CHECK PC! ホームページ 4,196,217 件 19 4,779,915 件 19

Japan Vulnerability Notes

（JVN）

5,298,081 件 19 5,248,580 件 19

情報処理推進

機構

IPA セキュリティセンター

ホームページ

34,244,900 件 19 21,429,665 件 19

JPCERT/CC JPCERT/CC ホームページ 14,504,985 件 19 11,275,459 件 19

情報セキュリティ対策の必要性

（不正アクセス行為対策等の実態調査：警察庁）

平成 23 年度平成 22 年度

回答数 827 841

非常に感じている 77.6% 72.8%

ある程度感じている 19.2% 23.8%

あまり感じていない 1.6% 1.3%

感じていない 0.0% 0.0%

無回答 1.6% 2.1%

16 各ウェブサイトへのアクセス概数。集計方法については、各府省庁及び各ウェブサイト

によって異なるため、一概に単純比較することはできない。 17 年による集計。 18 平成 23 年２月１日から３月 31 日までの集計。 19 年度による集計。

別添２－１９

インターネット利用上の不安の有無



回答数 13,603 20,283

特に不安は感じない 20.4% 22.0%

それほど不安は感じていない 31.5% 31.9%

少し不安を感じている 31.1% 29.1%

不安を感じている 17.0% 16.9%

インターネット利用上で感じる不安の内容



回答数 5,842 6,976

ウイルスの感染が心配である 72.8% 69.7%

個人情報の保護に不安がある 72.6% 71.7%

どこまでセキュリティ対策を行えばよいか不明 61.6% 62.0%

電子的決済手段の信頼性に不安がある 42.0% 42.5%

セキュリティ脅威が難解で具体的に理解できない 38.5% 38.5%

違法・有害情報が氾濫している 29.7% 29.4%

認証技術の信頼性に不安がある 17.0% 17.3%

知的財産の保護に不安がある 7.5% 8.0%

送信した電子メールが届くかどうかわからない 6.3% 6.9%

その他 2.2% 2.0%

情報セキュリティに関する攻撃・脅威の認知


2011 年度 2010 年度

回答数 5,240 5,019

フィッシング詐欺 92.2% 91.8%

ワンクリック不正請求 93.1% 92.9%

スパイウェア 85.3% 84.5%

セキュリティホール（脆弱性） 71.5% 72.9%

標的型攻撃 46.3% 41.2%

ボット 38.1% 38.9%

マルウェア 38.7% 36.9%

偽セキュリティ対策ソフト 51.9% 49.9%

情報セキュリティサポータをとりまとめる地域団体の数

（セキュリティ対策推進協議会：総務省）

平成 23 年３月末平成 22 年３月末

地域団体数 27 －

別添２－２０

被害・トラブル時に対処をしなかった理由


2011 年度 2010 年度

回答数 343 379

対処の必要性を感じなかった 50.4% 51.2%

何をしてよいかわからなかった 38.8% 36.4%

面倒だった 21.3% 18.2%

その他 3.2% 5.3%

知りたいセキュリティ情報


2011 年度 2010 年度

回答数 5,240 5,019

被害を防ぐための予防策や被害が生じた場合の対応策などの

具体的事例に関する情報

36.4% 38.8%

最新のセキュリティ事象やセキュリティに関する被害の情報 31.5% 34.7%

被害が起きたときの相談や届出に関する情報 25.2% 27.4%

市販されているセキュリティサービス・製品に関する情報 22.7% 22.4%

ユーザの被害や対策実施等に関する体験談やレポートの情報 15.7% 16.9%

その他 0.3% 0.2%

特にない 41.1% 37.7%

情報セキュリティ安心相談窓口における相談対応状況


2011 年度 2010 年度

合計（件） 17,007 22,389

自動応答システム 9,962 12,834

電話 6,257 8,633

電子メール 700 877

その他 88 45

別添２－２１

２（２）④ サイバー犯罪に対する態勢の強化

不正アクセス行為の認知件数

（不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況：警察庁）


認知件数 889 1,885

海外からのアクセス 110 57

国内からのアクセス 678 1,755

アクセス元不明 101 73

サイバー犯罪の検挙状況

（サイバー犯罪の検挙状況等について：警察庁）


検挙件数 5,741 6,933

不正アクセス禁止法違反 248 1,601

コンピュータ・電磁的記録対象犯罪、不正指令電磁的記録 105 133

ネットワーク利用犯罪 5,388 5,199

サイバー犯罪等に関する相談状況

（サイバー犯罪の検挙状況等について：警察庁）


相談件数 80,273 75,810

詐欺・悪質商法 32,892 31,333

インターネット・オークション 5,905 6,905

名誉棄損・誹謗中傷等 10,549 10,212

不正アクセス・コンピュータ・ウイルス 4,619 3,668

迷惑メール 11,667 9,836

違法・有害情報 3,382 3,847

その他 11,259 10,009

インターネット安全教室開催数

（インターネット安全教室実施報告書：日本ネットワークセキュリティ協会：経済産業省）

2011 年度 2010 年度

開催数 163 167

参加人数 10,111 11,818

別添２－２２

２（４）② 情報セキュリティ人材の育成

e-ネットキャラバン開催状況

（総務省・文部科学省）


実施件数 788 557

情報セキュリティの対策状況（従業員に対する情報セキュリティ教育）


対策実施状況

平成 22 年度 14 平成 21 年度 15


回答企業数 4,504 ― 4,544 ―

既に実施している 2,143 47.6% 1,977 43.5%


実施を検討している 434 9.6% 455 10.0%

必要性を感じるが、未実施 1,672 37.1% 1,830 40.3%

必要性を感じず、未実施 255 5.7% 282 6.2%


平成 22 年度 14 平成 21 年度 15


回答企業数 2,101 ― 1,946 ―

寄与した 1,712 81.5% 1,550 79.7%

寄与しなかった 23 1.1% 35 1.8%

わからない 366 17.4% 361 18.6%

情報セキュリティ教育の実施状況

（不正アクセス行為対策等の実態調査：警察庁）


回答数 827 841

実施している 62.6% 63.9%

実施を予定している 5.7% 5.1%

実施はしていないが必要性を感じる 28.2% 28.5%

実施の必要性を感じない（実施していない） 2.9% 1.7%

無回答 0.6% 0.8%

情報セキュリティサポータの人数

（情報セキュリティ対策推進協議会：総務省）

平成 23 年３月末平成 22 年３月末

人数 561 －

別添２－２３

教員の ICT 活用指導力の状況

（学校における教育の情報化の実態等に関する調査：文部科学省）


回答割合回答割合

児童が発信する情報や情報社会での行動に責任を持

ち、相手のことを考えた情報のやりとりができるよう

に指導する。

627,060 72.2% 608,565 69.7%

児童が情報社会の一員としてルールやマナーを守っ

て、情報を集めたり発信したりできるように指導す

る。

639,791 73.6% 618,542 70.8%

児童がインターネットなどを利用する際に、情報の正

しさや安全性などを理解し、健康面に気を付けて活用

できるように指導する。

641,801 73.8% 618,924 70.9%

児童がパスワードや自他の情報の大切さなど、情報セ

キュリティの基本的な知識を身に着けることができ

るように指導する。

573,131 65.9% 551,215 63.1%

情報セキュリティスペシャリスト試験合格者数



応募数 57,243 59,285

受験者数 37,198 39,342

合格者数 5,110 5,804

合格率 13.7% 14.8%

システム監査技術者試験合格者数



応募数 4,990 5,415

受験者数 3,278 3,534

合格者数 475 506

合格率 14.5% 14.3%

別添３－１

別添３独立行政法人等の情報セキュリティ対策の現状について

別添３－２

別添３－３

別添３－４

別添３－５

2011年度の情報セキュリティ政策の評価等プロトタイプ開発やガイドラインの提供によりIPv6の情報セキュリティ対応技術...

Documents

Transcript of 2011年度の情報セキュリティ政策の評価等プロトタイプ開発やガイドラインの提供によりIPv6の情報セキュリティ対応技術...