2 サイバーセキュリティ対策の強化
(1)IoT等に関する取組
社会基盤としてのIoT化が進展する一方で、IoT機器については、管理が行き届きにくい、ウイルス駆除ソフトのインストールなどの対策が困難、利用者等においてインターネットにつながっている意識が低いなどの理由から、サイバー攻撃の脅威にさらされることが多く、その対策強化の必要性が指摘されている。情報通信研究機構(NICT)が運用するサイバー攻撃観測網(NICTER)が2018年(平成30年)に観測したサイバー攻撃パケット、2,121億パケットのうち、約半数がIoT機器を狙ったものであるという結果が示されている(図表4-5-2-1)。実際に、米国では、2016年(平成28年)10月、マルウェアに感染したIoT機器が踏み台となり、大規模なDDoS攻撃が発生し、一部サイトにアクセスできなくなる等の障害が発生した(図表4-5-2-2)。
こうした状況を踏まえ、「2020年及びその後を見据えたサイバーセキュリティの在り方について −サイバーセキュリティ戦略中間レビュー−」、「IoTセキュリティ総合対策」等において、官民連携によるボット撲滅に向けた体制を構築して対策を推進するとともに、実態調査等ができるよう必要となる法的整理を行うこととされ、総務省は、「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案」を2018年(平成30年)3月に国会へ提出、同改正法は同年5月に公布、同年11月に施行された。
同改正法に基づき、2019年(平成31年)2月より、NICTによるサイバー攻撃に悪用されるおそれのある機器の調査及び電気通信事業者による利用者への注意喚起を行う取組「NOTICE」を実施している。
また、「円滑なインターネット利用環境の確保に関する検討会」による「対応の方向性」(2018年(平成30年)2月20日とりまとめ)に基づき、以下の取組を実施している。
一点目は、情報共有に係る制度整備と共有の促進であり、上述の改正法により改正された電気通信事業法に基づき、2019年(平成31年)1月に、電気通信事業者がDDoS攻撃等のサイバー攻撃への対応を共同して行うため、サイバー攻撃の送信元情報の共有やC& Cサーバの調査研究等の業務を行う第三者機関である「認定送信型対電気通信設備サイバー攻撃対処協会」として、一般社団法人ICT-ISACを認定した。
二点目は、電気通信事業者の取り得るDDoS攻撃等の防止措置であり、2018年(平成30年)9月、「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」において、DDoS攻撃に係る通信のメタデータを分析し、自らの通信ネットワーク内に存在するC&Cサーバと通信している機器やC&Cサーバを検知した上で、ユーザーに対して注意喚起を行うといった手法等について、通信の秘密やプライバシーとの関係等を踏まえ、取組の実施に向けての条件や留意点等を整理した。
三点目は、IoT機器を含む端末設備のセキュリティ対策であり、今後製品化されるIoT機器がパスワード設定の不備等によりサイバー攻撃に悪用されないようにする対策として、2019年(平成31年)3月にIoT機器の技術基準にセキュリティ対策を追加する端末設備等規則を改正し、2020年(令和2年)4月に施行となる。
四点目は、2017年(平成29年)8月に発生した大規模なインターネット障害の検証を踏まえた対策であり、情報通信ネットワーク安全・信頼性基準を改正6し、インターネットの経路設定時の人為的ミスの防止等大規模なインターネット障害発生時に有効な対策についての規定を整備した。
6 2019年(平成31年)3月26日公布、同年4月1日施行
PDFファイル(2.79MB))
Copyright © 2009 Ministry of Internal Affairs and Communications All Rights Reserved.