(5)トラストサービスに関する取組 サイバー空間の自由で安心・安全なデータの流通を実現するためには、データの信頼性を確保する仕組みとして、データの改ざんや送信元のなりすまし等を防止するトラストサービスが不可欠であることから、「プラットフォームサービスに関する研究会」の下に「トラストサービス検討ワーキンググループ」を設置し、次のようなトラストサービスに関する現状や制度的課題について検討を行っている(図表4-5-2-5)。 図表4-5-2-5 トラストサービスのイメージ 大きい画像はこちら @人の正当性を確認できる仕組み(電子署名) A組織の正当性を確認できる仕組み(組織を対象とする認証、ウェブサイト認証) BIoT機器等のモノの正当性を確認できる仕組み Cデータの存在証明・非改ざんの保証の仕組み(タイムスタンプ) Dデータの送達等を保証する仕組み(eデリバリー) こうしたトラストサービスについては、EUでは2016年(平成28年)7月に発効したeIDAS(electronic Identification and Authentication Services)規則により、電子署名、タイムスタンプ、eシール等のトラストサービスについて包括的に規定しているところであり、国際的な相互運用性の確保の観点からも、我が国としてのトラストサービスの在り方について検討が必要である。 政策フォーカス IoTセキュリティ対策の推進 1 背景等 IoT機器が普及する一方で、IoT機器を狙ったサイバー攻撃は近年増加傾向にある。センサーやウェブカメラなどのIoT機器は、管理が行き届きにくい、ウイルス駆除ソフトのインストールなどの対策が困難、利用者等においてインターネットにつながっている意識が低いなどの理由から、サイバー攻撃に狙われやすい特徴を持っており、サイバー攻撃に悪用されるおそれがある。諸外国においては、IoT機器を悪用した大規模なサイバー攻撃(DDoS攻撃)によりインターネットに障害が生じるなど、深刻な被害が発生していることから、我が国においても2020年オリンピック・パラリンピック東京大会などを控え、対策の必要性が高まっている。 このような状況を踏まえ、総務省では、@現在使用されているIoT機器の対策、A今後販売されるIoT機器の対策を実施している。 2 NOTICEプロジェクト(現在使用されているIoT機器への対策) IoT機器等を悪用したサイバー攻撃の深刻化を踏まえ、国立研究開発法人情報通信研究機構(NICT)の業務に、パスワード設定等に不備のあるIoT機器の調査等を追加するため、国立研究開発法人情報通信研究機構法が2018年(平成30年)5月に改正され、同年11月に施行された。 上記改正法に基づき、総務省及びNICTは、20社を超えるインターネットプロバイダと連携し、サイバー攻撃に悪用されるおそれのあるIoT 機器の調査及び当該機器の利用者への注意喚起を行う取組「NOTICE(National Operation Towards IoT Clean Environment)」を2019年(平成31年)2月より実施している(図表1)。 図表1 NOTICE実施概要 大きい画像はこちら 「NOTICE」の実施内容は以下の通り。 1.機器調査 NICTは総務省から認可を受けた実施計画に基づき、日本国内のグローバルIPアドレス(IPv4)によりインターネット上で外部からアクセスできるルータ、ウェブカメラ、センサーなどのIoT機器に対し、ID・パスワードを入力することができるかどうかを確認し、これらの機器に容易に推測されるID・パスワードを入力することなどにより、サイバー攻撃に悪用されるおそれのある機器を特定し、当該機器の情報をインターネットプロバイダに通知する。 なお、上述の実施計画に基づき、容易に推測されるID、パスワードを外部から入力し、サイバー攻撃に悪用されるおそれのあるIoT機器を特定することは、改正法において、不正アクセス行為の禁止等に関する法律で禁止されている不正アクセス行為から除外されている。 2.注意喚起 インターネットプロバイダは、NICTから受け取った情報を元に当該機器の利用者を特定し、電子メールなどにより注意喚起を行う。 3.設定変更等 注意喚起を受けた利用者は、注意喚起メールやNOTICEサポートセンターのウェブサイトの説明などに従い、パスワード設定の変更、ファームウェアの更新など適切なセキュリティ対策を行う。 4.ユーザサポート 総務省が設置するNOTICEサポートセンターは、利用者からの電話、ウェブサイト(https://notice.go.jp/)からの問合せに応じ、適切なセキュリティ対策等を案内する。 なお、上記ウェブサイトにおいては、NOTICEの取組概要やIoTのセキュリティ対策に係るコンテンツを利用者向けに提供している。 今回の取組の実施にあたっては、広くIoT機器のユーザに周知し、対策の必要性について理解を得ることが不可欠である。IoT機器のセキュリティ対策の必要性や本取組の内容の広報のため、公共交通機関での広告、全国紙での広告掲載に加え、家電量販店や自治体等でのポスター掲示(図表2)を2月から実施している。また、2019年(平成31年)2月13日には、NOTICEの実施体制の強化及び周知広報を目的としたキックオフイベントを開催し、NICT、本取組に参加するインターネットプロバイダ、関係団体、関係省庁が参加した。 図表2 周知ポスター、NOTICEキックオフイベント 集合写真 大きい画像はこちら 3 IoT機器の技術基準(今後製造されるIoT機器への対策) 電気通信事業法では、電気通信事業者のネットワークに接続して使用する端末設備は、端末設備等規則(昭和60年郵政省令第31号)で定める技術基準に適合しなければならないこととされている。今後製品化されるIoT機器がパスワード設定の不備等により悪用されないようにする対策として、情報通信審議会等での検討を経て、IoT機器の技術基準にセキュリティ対策を追加するための端末設備等規則の改正8を行い、あわせて、改正後の端末設備等規則の運用方法や解釈等を明確化する「電気通信事業法に基づく端末機器の基準認証に関するガイドライン」を2019年(平成31年)4月に策定・公表した。 端末設備等規則の改正概要は以下の通り。 インターネットプロトコルを使用し、電気通信回線設備を介して接続することにより、電気通信の送受信に係る機能を操作することが可能な端末設備について、最低限のセキュリティ対策として、以下の機能を具備することを技術基準(端末設備等規則)に追加する。 @ アクセス制御機能※1(例えばアクセス制限をかけてID・パスワード入力を求め、正しいID・パスワードの入力時のみ制限を解除する機能のこと) A 初期設定のパスワードの変更を促す等の機能 B ソフトウェアの更新機能※1 又は @ 〜B と同等以上の機能※2 ※1 @ とB の機能は、端末が電源オフになった後、再び電源オンに戻った際に、出荷時の初期状態に戻らず電源オフになる直前の状態を維持できることが必要。 ※2 同等以上の機能を持つものとしては、国際標準ISO/IEC15408に基づくセキュリティ認証(CC認証)を受けた複合機等が含まれる。 PCやスマートフォン等、利用者が随時かつ容易に任意のソフトウェアを導入することが可能な機器については本セキュリティ対策の対象外とする。 8 2019年(平成31年)3月1日公布、2020年(令和2年)4月1日施行