キャリアコンサルタントの方に有用な情報をお伝えします。
概要
我が国を取り巻くサイバーセキュリティ情勢は年々複雑化・高度化しており、大手事業者のデータセンターを狙ったランサムウェア攻撃により事業に支障を与える事例や、生成AIを利用することで、技術的な知識なしにランサムウェアを作成した事例も発生しています。また、デジタル化の急速な進展に伴うIoT機器の増加や、サプライチェーンの多様化により、攻撃対象は拡大し続ける一方、国際関係の変化は加速し、安全保障情勢も厳しさを増しています。 このように、サイバー攻撃の複雑化・巧妙化が進んでいるなかで、その攻撃対象は重要インフラ等にも及び、国民生活や経済活動に影響を与えかねないというように、サイバー空間を取り巻くセキュリティリスクは深刻化しています。サイバー空間が公共空間化する中で、これらの情勢変化を認識しつつ、その基盤となるICT(情報 通信技術)を国民一人ひとりが安心して活用できるよう、サイバーセキュリティを確保することがますます重要になっています。 これらを踏まえ、総務省が関係機関や民間企業等と連携し、我が国のサイバーセキュリティ政策に率先して取り組むことにより、サイバー空間における安全・安心の確保に貢献していきます。
重要インフラ等におけるサイバーセキュリティ
IoTボットネット対策の推進
サイバー空間を支える情報通信ネットワークの安全性・信頼性を確保する上で、DDoS攻撃のように情報通信ネットワークの機能に支障を生じさせるような大規模サイバー攻撃による影響も懸念されます。こうしたDDoS攻撃の典型的な手法には、①多数のIoT機器にマルウェアを感染させ攻撃者の支配下に置く段階(攻撃インフラの拡大)と、②これらの攻撃インフラを利用しネットワークを通じた攻撃を実行する段階の2つの段階が存在します。実際に、IoT機器の数の増加や機能向上に伴い、IoT機器を悪用したサイバー攻撃も件数・規模は増加傾向にあり、NICTが運用するサイバー攻撃観測網 (NICTER)が2024年に観測したサイバー攻撃関連通信についても、依然としてIoT機器を狙ったものが最も多かったという結果が示されています。
こうした大規模なサイバー攻撃に対応していくためには、攻撃インフラの拡大を防ぐ端末側(IoT機器)の対策、攻撃インフラに対して指令を出すC&C(Command and Control)サーバに対処するネットワーク側の対策の双方から、総合的なIoTボットネット対策を推進することが必要となります。
端末側の対策として、総務省、NICT及びインターネット・サービス・プロバイダ(ISP)と連携し、2019年2月から「NOTICE(National Operation Towards IoT Clean Environment)」として、インターネット上のIoT機器に対して、「password」や「123456」等の容易に推測されるパスワードを設定している機器の調査を行い、利用者への注意喚起を行うための取組を実施し、一定の成果をあげたところです。
しかし、最近ではIoT機器のソフトウェアの脆弱性を狙ったサイバー攻撃も増加している等、IoT機器を悪用したサイバー攻撃のリスクは引き続き高い状況にあり、依然としてIoT機器を悪用したサイバー攻撃が発生しています。これを踏まえ、これまでの取組に加えて、2024年度より新たにソフトウェ ア等の脆弱性を有するIoT機器やすでにマルウェアに感染済みの端末を調査し機器の利用者やIoT機器メーカー等に助言等を行うことをNICTの業務として位置付け、能力の強化を図ることとしました。
さらに、これまでのIoT機器管理者への注意喚起に加え、メーカーやシステムベンダーなどと連携したIoT機器のセキュリティ対策の推進や、動画配信やネット広告などを活用したIoT機器のセキュリティ対策の意識啓発も行うことで、総合的な対処を推進することとしています。 また、ネットワーク側の対策としては、総務省は2022年度から、電気通信事業者において通信トラヒックに係るフロー情報(IPアドレス、ポート番号、タイムスタンプ等)を分析し、サイバー攻撃の指令元であるC&Cサーバを検知する技術の有効性の検証や、検知したC&Cサーバリストの事業者間の情報共有や利活用の在り方の検討などを実施しています。これまでの取組の成果として、一定数の C&Cサーバの検知に成功するなど、フロー情報分析の有効性は確認されており、2025年度からは、端末側の対策とも連携しながら、IoTボットネットの全体像を可視化した上で、各ボットネットの特性に応じた効果的な対処を実現することにより、IoTボットネットの縮小を目指していきます。
電気通信事業者による積極的サイバーセキュリティ対策
IoT機器のセキュリティ対策をより実効的なものにするためには、前述の総合的なIoTボットネット対策に加え、通信トラヒックが通過するネットワーク側におけるより機動的な対処を行う環境整備が必要と考えられます。2021年度より、大規模化・巧妙化・複雑化するサイバー攻撃に電気通信事業者がより効率的・積極的に対処できるようにするためのサイバーセキュリティ対策に関する総合実証を実施しました。「フィッシングサイト等の悪性Webサイトの検知技術・共有手法の実証」においては、Webサービス提供者向けのフィッシング対応実務リファレンスを作成するとともに一般国民向けの普及啓発を実施し、2024 年5月にリファレンスの概要を公開しました。「ネットワークセキュリティ対策手法の導入に係る実証」においては、国際的にも実装が標準的になりつつあるにも関わらず、我が国では普及が十分ではないRPKI、DNSSEC、DMARC等のネットワークセキュリティ技術について、技術実証等を通じて得られた知見を踏まえて導入・運用に係るガイドライン案を作成しました。2024年度には本ガイドライン案をもとに、一般社団法人日本ネットワークインフォメーションセンターから「RPKIのROAを使ったインターネットにおける不正経路への対策ガイドライン」が、一般社団法人日本データ通信協会から 「送信ドメイン認証技術DMARC導入ガイドライン」が公表されました。2025年度においても継続的に普及促進に向けた取組を推進していきます。
サプライチェーンリスク対策
総務省では、2019年度から2021年度にかけて仮想化基盤・管理系を含む5Gネットワーク全体を考慮した技術的検証を行い、2022年4月、オペレータが留意すべきセキュリティ課題やその対策を整理 した「5Gセキュリティガイドライン第1版」を公表しました。同ガイドラインは、2024年9月にITU-T SG17において、国際標準として承認されました。また、通信分野においては、機能の高度化等に伴いシステム構成が複雑化しており、OSSがソフ トウェア部品として利用されるようになっています。このようなソフトウェア・サプライチェーンの変化に伴い、ソフトウェア部品への悪意のあるコードの混入等が発生していますが、ソフトウェアの構成を把握できていない場合、攻撃に対する迅速な対応が困難となります。 このような状況を踏まえ、総務省では、SBOMの活用によるサイバーセキュリティの強化に資するように、2023年度から、通信分野におけるSBOMの導入に向けた実証事業を実施し、SBOMを作成及び活用するに当たっての留意点をまとめた留意事項(案)を作成しました。 さらに、2023年度からは、スマートフォンアプリを対象に、第三者によるアプリ挙動に関する技術的解析等を実施し、我が国の解析能力の水準や利用者情報の取扱慣行等を把握する実証事業を実施しました。2025年度からは、「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律」(令和6年法律第58号)の施行により、我が国においてスマートフォンのOS事業者が運営する公式ストア以外のアプリ代替流通経路の利用が進むと見込まれるため、アプリ代替流通経路の事業者等がSPSIに準拠して、セキュリティ等の確保に向けた取組が実施されているかについての調査を実施しています。
クラウドサービスの安全性確保
総務省では、安全・安心なクラウドサービスの利活用推進のための取組として、クラウドサービス事業者における情報セキュリティ対策を取りまとめた「クラウドサービス提供における情報セキュリティ対策ガイドライン」を策定しており、2021年9月には、クラウドサービスの提供・利用実態等を踏まえた改定版(第3版)を公表しています。また、昨今では、クラウドサービス利用者が適切にクラウドサービスを利用できていないことに起因し、結果的に情報流出のおそれに至る事案も発生していることから、利用者の適切なクラウドサービスの利用促進について、提供者・利用者を含む幅広い主体で検討した上で、2022年10月、「クラウドサービス利用・提供における適切な設定のためのガイドライン」を策定しました。2024年4月には、クラウドサービス利用者向けに、ガイドラインの内容をわかりやすく解説するための「クラウドの設定ミス対策ガイドブック」を公表しました。
トラストサービスに関する取組
Society5.0においては、実空間とサイバー空間が高度に融合することから、実空間における様々なやりとりをサイバー空間においても円滑に実現することが求められます。その実現のためには、データを安全・安心に流通できる基盤の構築が不可欠であり、データの改ざんや送信元のなりすまし等を防止する仕組であるトラストサービスの重要性が高まっています。 総務省においては、「デジタル社会の実現に向けた重点計画」(2024年6月21日閣議決定)を踏まえ、タイムスタンプの的確な制度運用とeシールの民間サービスの信頼性を評価する基準策定及び適合性評価の実現に向けて取り組んでいます。
国によるタイムスタンプ認定制度
タイムスタンプについては、2020年3月に総務省が立ち上げた「タイムスタンプ認定制度に関する検討会」で検討を行い、2021年4月に、「時刻認証業務の認定に関する規程」(令和3年総務省告示第 146号)を制定し、国(総務大臣)による認定制度を整備しました。さらに、2022年度の税制改正により、電子帳簿保存法(平成10年法律第25号)による税務関係書類に係るスキャナ保存制度等で使用されるタイムスタンプについては、総務大臣認定制度に基づくタイムスタンプを使うこととされました。2025年5月時点では4社がタイムスタンプ事業者として認定されています。今後も、認定制度を適切かつ確実に運用するとともに、タイムスタンプの利用の一層の拡大に取り組みます。
eシールの制度化
eシールについては、2020年4月に総務省が立ち上げた「組織が発行するデータの信頼性を確保する制度に関する検討会」において、我が国におけるeシールの在り方などについて検討を行い、2021年6月に、我が国におけるeシールに係る技術や運用等に関する一定の基準を示した「eシールに係る指針」を策定しました。2023年9月には「eシールに係る検討会」を立ち上げ、eシールの民間サービスの信頼性を評価する基準策定及び適合性評価の実現に向けた検討を行い、2024年4月に検討会の最終取りまとめとともに、「eシールに係る指針(第2版)」を公表しました。さらに、2024年6月には、e シールに係る認定制度創設に向けて、制度運用に必要な関係規程の策定に資する検討を行うことを目的に「eシールに係る関係規程策定のための有識者会議」を開催し、2025年3月に「eシールに係る認証業務の認定に関する規程」(令和7年総務省告示第113号)により国(総務大臣)による認定制度を創設しました。今後は本格的な運用に向けて、指定調査機関の指定等に取り組んでいく予定です。
(出典)総務省
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r07/pdf/index.html
(つづく)Y.H
