（1）サイバーセキュリティに関する現状と新たな脅威
ア　サイバーセキュリティのトレンド
現在あるいは今後注意が必要となるサイバーセキュリティのトレンドは、具体的にどのようなものだろうか。この点について分析・予測を行っているものを3点紹介する。
IPA「情報セキュリティ10大脅威」
独立行政法人情報処理推進機構（IPA）は、2019年1月に「情報セキュリティ10大脅威」を公表している。これは、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案を基に、IPAが脅威候補を選出し、情報セキュリティ分野の研究者や企業の実務者等で構成される選考会において決定したものである49。
これによれば、個人については、「クレジットカード情報の不正利用」が前年に引き続き1位となっている。また、4位の「メール等を使った脅迫・詐欺の手口による金銭要求」が新たに登場しているほか、「偽警告によるインターネット詐欺」の順位が前年の10位から6位へと上昇している（（図表1-3-3-3））。
図表1-3-3-3　IPA「情報セキュリティ10大脅威」【個人】
（出典）IPA（2019）「情報セキュリティ10大脅威」を基に作成
企業等の組織については、「標的型攻撃による被害」が前年に引き続き1位となっている。また、4位の「サプライチェーンの弱点を悪用した攻撃の高まり」が新たに登場している。これは、原材料から部品の調達、製造、在庫管理、物流、販売までの一連の商流とこれらに関わる複数の組織群（委託先の外部組織を含む。）の中で、セキュリティ対策を適切に実施していない組織等を攻撃するものである。このほか、「内部不正による情報漏えい」「サービス妨害攻撃によるサービスの停止」「不注意による情報漏えい」の順位が前年から上昇している（図表1-3-3-4）。
図表1-3-3-4　IPA「情報セキュリティ10大脅威」【組織】
（出典）IPA（2019）「情報セキュリティ10大脅威」を基に作成
JASA「情報セキュリティ十大トレンド」
特定非営利活動法人日本セキュリティ監査協会（JASA）は、2019年1月に「情報セキュリティ十大トレンド」を公表している。これは、同協会の公認情報セキュリティ監査人資格認定制度により認定を受けた情報セキュリティ監査人を対象としたアンケートにより選出したものである50。
これによれば、「仮想通貨の盗難、詐欺の拡大」「時代遅れとなりつつあるパスワード認証」「問われるサイバーセキュリティ経営の責任体制」「クラウドバイデフォルトの情報セキュリティ体系化」が新たに登場している。「問われるサイバーセキュリティ経営の責任体制」とは、サイバーセキュリティに関し、取締役・監査役等がどのような責任分担をするのか、その責任を負うだけの準備ができているのかに着目したものとしている。また、「クラウドバイデフォルトの情報セキュリティ体系化」とは、クラウドがICTインフラの第一選択肢となっている中で、企業の情報セキュリティ基準や管理策がオンプレミス時代のままでは実態との間に齟齬が生じ、本来クラウドで得られる便益を損なう点に着目したものとしている（図表1-3-3-5）。
図表1-3-3-5　JASA「情報セキュリティ十大トレンド」
（出典）JASA（2019）「情報セキュリティ十大トレンド」を基に作成
トレンドマイクロ「2019年セキュリティ脅威予測」
セキュリティベンダーのトレンドマイクロは、2018年12月に「2019年セキュリティ脅威予測」を公表している51。これは、2019年の国内外における脅威動向を予測したレポートである。
これによれば、まず、AIによるセキュリティ対策を回避する攻撃や、AIを悪用したサイバー攻撃の登場が見込まれるとしている。AIを活用したセキュリティ対策が進む中で、サイバー犯罪者は、マルウェア自体のファイルを作成せずに不正活動を行うファイルレス活動、実行ファイルではないスクリプトやマクロの使用等、対策を回避する手法を巧妙化させているとする。また、ユーザーからの質問に自動応答するチャットボットを悪用したサポート詐欺の登場や、標的とする企業等に属する人の動きをAIを活用して予想し、攻撃に利用するといったことが考えられるとしている。
次に、テレワークの普及が法人セキュリティにおける新たな弱点になることが見込まれるとしている。サイバー犯罪者は、テレワークで使用するクラウドサービスの認証情報を狙うフィッシング詐欺を行うことや、在宅勤務が増加することで、よりセキュリティ強度が低いホームネットワークを経由して企業を攻撃することが考えられるとしている。
更に、「ソーシャルエンジニアリング」が再び攻撃の中心になるとしている。すなわち、システムの脆弱性を狙うのではなく、フィッシング詐欺に代表される人間の心理的な弱点を悪用して人をだます形での攻撃が拡大し始めているとする。その裏付けとして、システムの脆弱性を攻撃するサイトへのアクセスブロック数が減少傾向にある一方で、フィッシング詐欺サイトへのアクセスブロック数は、2017年1年間で7,300万件だったものが、2018年では1月から9月までの集計で約2億1,000万件と約3倍に増加していることを挙げている。
イ　新たな脅威の舞台となるIoT
IoTの普及が進むにつれ、サイバーセキュリティに関する弱点や影響が、サイバー空間を超えて現実世界に及んでいくことが想定される。前述のサイバーセキュリティに関するトレンドにおいても、IoTに関するものは上位となっている。
国立研究開発法人情報通信研究機構（NICT）が2019年2月に公表した「NICTER観測レポート2018」によると、NICTER52により観測した主なサーバー攻撃対象の宛先ポート番号のトップ10のうち、8番号がWebカメラやホームルーター等のIoT機器に関連したものとなっている（図表1-3-3-6）。また、その他のポート（Other Ports）の中にも、機器のWeb管理インターフェイス用ポート等のIoT機器で使用されるポートが多数含まれており、これらを合わせると、全体の約半数がIoT機器で動作するサービスや脆弱性を狙った攻撃であるとしている。
図表1-3-3-6　サーバー攻撃対象の宛先ポート番号別パケット数分布
（出典）NICT（2019）「NICTER観測レポート2018」
このように、IoTが新たな脅威の舞台となってきている中で、IoT機器の脆弱性への対応が重要となってきている。また、IoTにおいては、「情報」のみの制御とは異なる「モノ」の制御が必要となり、「車は急に止まらない」といった物理法則に従う物理モデルと制御モデルの統合化が求められる等、従来のサイバーセキュリティの考え方を大きく変えていく可能性があることに留意が必要である。
ウ　サイバーセキュリティ人材の現状
デジタル化の進展に伴い、サイバーセキュリティの重要性も高まる中で、我が国においてはサイバーセキュリティ人材が不足しているといわれている53。我が国の状況は、世界的にみればどのように位置付けられるのだろうか。
NRIセキュアテクノロジーズ株式会社が行った企業の情報セキュリティに関する実態調査「NRI Secure Insight 2018」54によると、我が国と米国・英国・シンガポール・オーストラリアの5か国で比較すると、我が国は他の4か国に比べ、圧倒的にセキュリティ人材不足を訴えている（図表1-3-3-7）。また、人材育成・教育に係る課題について、我が国の1位を占めるのは、「キャリアパス不足」となっていることが特徴的である（図表1-3-3-8）。調査レポートにおいては、我が国では諸外国と比べて平均勤続年数が長いことに言及しており、サイバーセキュリティ人材が複数の企業等を移りながら専門性を高めてキャリアアップする諸外国との違いが、セキュリティ人材不足の要因の一つとなっていることがうかがい知れる。
図表1-3-3-7　セキュリティ人材の充足状況
（出典）NRIセキュアテクノロジーズ（2018）「NRI Secure Insight 2018」を基に作成
図表1-3-3-8　人材育成・教育に係る課題
（出典）NRIセキュアテクノロジーズ（2018）「NRI Secure Insight 2018」を基に作成
また、不足しているセキュリティ人材の種別として、ログの監視・分析を行う人材が1位となっているが（図表1-3-3-9）、アウトソースが可能と考えられる業務についてまで自組織に不足していると認識しているともみることができ、サイバーセキュリティに関して自社で行うべき業務と外部に委ねる業務との切り分けができていない可能性がある。
図表1-3-3-9　自組織に不足していると考える人材種別（日本）
（出典）NRIセキュアテクノロジーズ（2018）「NRI Secure Insight 2018」を基に作成
49　https://www.ipa.go.jp/security/vuln/10threats2019.html
50　http://www.jasa.jp/seminar/security_trend_top10.html
51　https://www.trendmicro.com/ja_jp/about/press-release/2018/pr-20181213-01.html
52　NICTER（Network Incident analysis Center for Tactical Emergency Response）は、サーバー攻撃トラフィックの観測・分析や対策の導出等を行う複合的なシステムであり、NICTが運営している。
53　例として、経済産業省「IT人材の最新動向と将来推計に関する調査結果」（2016年6月）では、2020年には需要に対する不足数が19.3万人に達するとしている。https://www.meti.go.jp/policy/it_policy/jinzai/27FY/ITjinzai_report_summary.pdf
54　https://www.secure-sketch.com/ebook-download/insight2018-report-01