サイバー攻撃に対する国の施策 内閣官房 内閣サイバーセキュリティセンター(NISC) 2020年東京オリンピック・パラリンピック競技大会 プロジェクトチーム 企画官 伊貝 耕 2020年東京オリンピック・パラリンピック競技大会に向けた取組 資料6 2020年東京オリンピック・パラリンピック競技大会(以降、大会)を成功へと導くためには、大会の開催・運営を支える重要サービスに おけるサイバーセキュリティを確保し、安定したサービスを供給することが不可欠との認識の下、関係機関と連携し取組を検討。 【検討体制】 【大会の開催・運営を支える重要サービスのイメージ】 東京オリンピック競技大会・東京パラリンピック競技大会推進本部 (本部長:安倍総理) 2020年オリンピック・パラリンピック東京大会関係府省庁連絡会議 (議長:杉田副長官) セキュリティ幹事会 座長 - 内閣危機管理監 座長代理 - 内閣官房オリパラ事務局長、内閣官房副長官補(内政)、 内閣官房副長官補(事態対処・危機管理)、 警察庁次長 構成員 - 関係省庁の局長級 主に 組織委員会の 取組の対象 オブザーバー - 東京都、組織委、警視庁、東京消防庁の幹部 事務局 - 警察庁、総務省、外務省、経産省、国交省、防衛省の協力を得て 内閣官房(内政・事態・NISC)において処理 テロ対策WT 座長 座長代理 - 内閣審議官(事態・内政) - 内閣審議官(オリパラ事務局) 警察庁審議官 構成員 - 関係省庁の課長級 オブザーバー - 関係機関の幹部 事務局 - 警察庁、国交省、防衛省の協力を 得て内閣官房(事態・内政)に おいて処理 サイバーセキュリティWT 座長 座長代理 - 内閣審議官(NISC副センター長) - 内閣審議官(オリパラ事務局) 警察庁審議官 構成員 - 関係省庁の課長級 オブザーバー - 関係機関の幹部 事務局 - 警察庁、総務省、外務省、経産省、 防衛省の協力を得て 内閣官房(NISC)において処理 主に政府が 主導する 取組の対象 大会の基幹システム 大 会 に 関 連 す る サ ー ビ ス 大会の開催・運営等に直接的に影響を与える 重要サービス 大会の開催・運営等に間接的に影響を与える 重要サービス 2020年東京オリンピック・パラリンピック競技大会における サイバーセキュリティ体制に関する検討会 1 2020年東京オリンピック・パラリンピック競技大会のサイバーセキュリティ確保のための取組 検討体制 東京都オリンピック・パラリンピック競技大会推進本部セキュリティ幹事会の下に、NISCが事務局となりサイバーセキュリティワーキングチームを設置。これまでに会合を7回開 催し、2020年東京オリンピック・パラリンピック競技大会の(以降「東京大会」という。)サイバーセキュリティの確保に資する具体的な施策について精力的に検討を推進。 東京大会に向けた取組 ○ サービスの安全かつ持続的な提供の確保のためのリスク評価手順書を作成するとともに、東京大会に おいて開催・運営に影響を与える重要なサービスを提供する事業者等を選定し、リスク評価の実施を依 頼。 リスク評価に基づく 対策の促進 ○ 各事業者等は、2016年10月~12月の期間で第1回目のリスク評価を実施。現在、63組織から実施結果 を受領し、取りまとめ作業を実施。 (事前対応のための取組) ○ 2017年8月~10月の期間で第2回目のリスク評価を実施予定。 対処体制の 整備 ○ 東京大会のサイバーセキュリティ体制に関する体制検討会において、具体的な対処体制(オリンピック・ パリンピックCSIRT)を検討し、脅威情報等の共有する情報の種類やポリシー、関係する組織の役割等、 情報共有に関する基本的な方針について合意。 (事案発生時の迅速かつ的確な 対処のための取組) ○ G7伊勢志摩サミット及びリオ大会をテスト的大規模イベントとして、現地に連携要員を派遣するとともに、 情報共有手段として同合意に基づく情報共有体制の試験運用を実施。 ○ 関係省庁・関係者間のより円滑な情報共有のためのシステムの整備に向けた検討。 2015年度 2016年度 2017年度 対 処 体 制 の 整 備 2019年度 2020年度 (凡例) :セキュリティ幹事会 :サイバーセキュリティワーキングチーム :2020年東京オリンピック・パラリンピック競技大会におけるサイバーセキュリティ体制に関する検討会 ※ 黒抜きは開催済み、白抜きは開催予定。 検 討政 状府 況の づリ くス 対ク 策評 の価 促に 進基 2018年度 重要サービス分野の洗い出し 実施に向 けた調整 リスク評価手法の検討 (継続的に見直し) (結果を踏まえて修正) リスク評価実施 リスク評価に 基づく対策の実施 情報共有体制に関する検討 対処支援体制に関する検討 (大会本番に向け継続的に実施) サイバーセキュリティ体制に関する継続検討 関係組織間調整 試験的運用 関連システム等の検討・設計 情報共有体制の試験運用 伊勢志摩サミット リオ大会 現在 関連システム等の構築 (暫定的な体制での演習・訓練) 平昌大会 本格稼働 演習・訓練の実施 ラグビーワールドカップ 東京大会 2 2020年東京オリンピック・パラリンピック競技大会のサイバーセキュリティの確保に向けたリスク評価への取組状況 重要インフラ事業者を含む、東京大会の円滑な運営に不可欠なサービスを提供する事業者等を選定。NISCが作成した手順に基 づき、東京23区内の事業者等を対象に第1回目のリスク評価を実施。 来年度以降は、東京圏、地方会場に関連する事業者等に拡大しつつ、2020年までにリスク評価を計6回実施予定。 リスク評価の取組概要 第2回 第1回 ○ リスクマネジメントの促進のため、サイバーセキュリティリスクを 期間:2016年度下期 期間:2017年度第2四半期 特定・分析・評価する手順をNISCで作成 対象:東京23区エリア 対象:東京圏 ○ 東京大会の開催・運営に影響に与えうる重要サービス分野を、 関連する所管省庁と調整の上で選定 通信、放送、金融、航空、鉄道、電力、ガス、上水道、物流、クレジット、 行政サービス(地方自治体)、下水道、空港、道路・海上・航空交通管制、 緊急通報、気象・災害情報、出入国管理、高速道路、熱供給 計19分野 ○ 東京大会に向けて、継続的に複数回実施することを想定 • 事業者等:PDCAサイクルを繰り返すことで、リスクを継続的に低減 • NISC:対象とする事業者等の拡大、手順の充実化 2016年度 第1回 2017年度 第2回 第3回 第4回以降 期間:2018年度第4四半期 期間:2018年度上期 対象:東京圏+地方競技会場周辺 対象:東京圏+地方競技会場周辺 2018年度 第3回 2019年度 第4回 第5回 2020年度 第6回 対策の実施1 対策の実施2 対策3 対策4 現在 東 京 大 会 対策5 東京大会に向けたリスク評価の取組スケジュール 2016年度の取組状況 第1回目(2016年度)の実施スケジュール <これまで(第1回)の取組状況> 2016年度 ○ 東京23区エリアの事業者等がリスク評価を実施 第1四半期 第2四半期 第3四半期 第4四半期 • これまでに約70組織から実施結果を受領 重要サービス分野、事業者等の調整 対策の実施 このほかの事業者等は、組織の事情に応じた時期に実施を予定 説 (NISC、所管省庁) (各事業者等) リスク評価実施 • 9月に説明会を6回に分け開催。所管省庁・事業者等から計215名が参加 明 (各事業者等) 会 • 11月に情報交換会を開催。事業者等の担当者ら51名が参加 リスク評価手法の検討 結果とりまとめ、次回に <今後の予定> ○ リスク評価により明らかになったリスクへの対策実施を依頼 ○ 第2回以降の取組に向けて準備と改善を実施 • 第1回で受領したレポートをもとにしたリスク評価の手順の見直し • リスク評価を実施する事業者等の拡大 対象地域を拡大し、東京23区外の地方競技会場周辺を追加 大会計画の更新をもとに、対象の重要サービス分野を見直し • 組織委員会等との継続的な意見交換により、 大会開催時に要求されるサービス提供レベルを明確化 • 事業者等との情報交換を継続的に実施 (NISC) ▲情報交換会 向けた改善(NISC) 現在 事業者等向けの説明会(9月)の様子 事業者等との情報交換会(11月)の様子 3 リスクアセスメントの全体像 対象とするリスク 情報、情報システム、制御システム等の情報資産に係る事象の結果(自然災害やサイバー攻撃等に起因するIT障害)から認識されるリスク 基本的な考え方 全世界からの注目を集める2020年東京オリンピック・パラリン ピック競技大会を直接的・間接的に支える重要なサービスを提供 する事業者等には、そのサービスを安全かつ継続的に提供する ことが期待される。 そのために必要な措置を事業者等が自身で講じられるようにす るためには、リスクを特定・分析・評価することが必要。 機能保証のためのリスクアセスメントの枠組み 「機能保証の観点から、事業者等が社会経済システムの中で果たすべき 役割・機能を発揮するために維持・継続することが必要なサービスを特定」 し、その「サービス提供の維持・継続に必要な業務や経営資源に係る要件を 分析・評価」した上、これらに影響する「事象の結果からリスク源までを分析」 していく。 <イメージ> 2020年東京オリンピック・パラリンピック競技大会の成功 成功のためには… (要件)大会開催に必要なサービスが安全かつ継続的に提供されること ⇒ 大会開催に向けた各関係主体の活動目的 機能を保証するためには… 活動目的に対する不確実さ(=リスク)を特定・分析・評価し、 必要な対処につなげることが重要 各関係主体が、 ① 大会開催を支える重要なサービス及び必要なサービスレベル を特定し、 ② そのサービス提供を全うすることに対するリスクを特定・分析・ 評価する ことが重要(機能保証のためのリスクアセスメント) 4 対処体制の整備の取組状況 サイバーセキュリティワーキングチームの下、NISC、オリパラ推進本部事務局、関係省庁、大会関係組織等の実務担当者が集 まり、東京大会におけるサイバーセキュリティ体制の構築のための検討会を集中的に開催。「顔のみえる」信頼関係を醸成するとと もに、情報共有の基本的な方針について合意。 G7伊勢志摩サミット、リオ大会をテスト的な大規模イベントと位置付け、同合意の基づいて共有されたサイバーセキュリティに係る 情報を集約し、NISCから派遣した連絡要員を介して各イベントの主催組織に対し提供。 平成28年度第2次補正予算において、関係省庁・関係者間より円滑な情報共有のためのシステムの整備に向けた支援等の 予算を確保。 サイバーセキュリティ体制の検討状況 テスト的大規模イベントにおける取組内容 ○ 平成27年度中に計8回の検討会を開催。主に関係組織間の情報共有に ついて、共有する情報や役割分担について議論し、基本的な方針を合意。 ○ 今年度はこれまで3回開催し、主に大規模イベント時の取組の教訓や セキュリティインシデント発生時の対処について議論。 主な議論内容 7月 5日 第10回 10月24日 第11回 12月20日 <今後の検討会実施予定> 第12回 1月25日 第13回 2月21日 第14回 3月 7日 • 全ての会議事務局にNISCから連絡要員を派遣 • 事前に各会合事務局より提供された懸念事項を共有し、それらを中心 に情報を集約して提供 ○ リオ大会 <今年度の検討会実施状況> 第9回 ○ G7伊勢志摩サミット及び関係閣僚会合 G7伊勢志摩サミット、リオ 大会時の取組の教訓 インシデント対処支援体制 今後の議論テーマ インシデント対処支援体制 (継続検討) 情報共有システム等の検討 • 大会前からリオ大会関係者を複数回にわた り訪問して取組の把握とともに信頼関係を醸 成 • リオ大会組織委員会内のセキュリティオペ レーションセンターに連絡要員2名を派遣 • 伊勢志摩サミット時と同様に情報提供 • リオ大会関連サイバーセキュリティ関連企業 とも緊密な情報交換を実施 • 大会後、ブラジル政府機関等と教訓事項の 調査のためヒアリングを実施 主催組織 NISC 連携要員 情報 共有 NISC (情報集約・整理) 情報 共有 情報セキュリティ 関係組織等 今後の取組 関係省庁・関係者間のより円滑な情報共有のためのシステムの整備に向けた検討 ラグビーワールドカップ前の平成31年春の運用開始に向けた構築作業に着手 5
© Copyright 2024 ExpyDoc
