自由民主党政務調査会ＩＴ戦略特命委員会御中『IoT社会の牽引役となるために』 -東京オリンピック後の継続的な発展を目指して- 2015（平成27）年3月26日トレンドマイクロ株式会社 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 「トレンドマイクロについて」何をするのか ※2014年12月末迄どのような体制か世界の脅威解析の知能を集結 IT環境のセキュリティにおけるリーダーカンパニー世界13ヶ所にある脅威解析センターに約1,200名のスタッフと約 1,500名のR&Dエンジニアが在籍。革新的なセキュリティソリューションを提供世界中の脅威情報を収集、分析・特定し、お客様へリアルタイムでソリューションを提供するクラウド型のセキュリティインフラ。ビジネス利用・個人利用双方のお客様を保護トレンドマイクロとはエバ・チェン大三川彰彦代表取締役社長兼 CEO 取締役副社長創業: 1988年日本(東京) 本社: 従業員数（全世界）※: 資本金※：売上高※: 183億8,600万円 1152億 2 ゕ゗ルランドド゗ツ中国フランス日本本社台湾フゖリピンシンガポール Copyright © 2015 Trend Micro Incorporated. All rights reserved. 500万円（売上の4割が日本国内） ■ 本社：日本 ■ TrendLabs（トレンドラボ）リージョナルトレンドラボ：フィリピン（本部）、米国、日本、台湾、ドイツ、アイルランド、中国、フランス、ブラジル、シンガポール ■ 開発拠点：日本、米国、カナダ、ドイツ、アイルランド、フランス、英国、台湾、中国、インド、オーストラリア、ブラジル ■ 海外子会社：米国、カナダ、アイルランド、フランス、ドイツ、イタリア、英国、スイス、オーストラリア、中国、インド、韓国、マレーシア、シンガポール、台湾、タイ、ブラジル、メキシコ、パナマ、オランダ 5,258名ゕメリカ (カリフォルニゕ州) ゕメリカ (テキサス州) ブラジル □ 海外主要エリア：ニュージーランド、オーストリア、ベルギー、デンマーク、UAE（ドバイ）、ノルウェー、ポーランド、スペイン、スウェーデン、トルコ、ロシア、インドネシア、ベトナム、フィリピン、エジプト、サウジアラビア、南アフリカ、イスラエル、フィンランド「サイバー犯罪撲滅に向けた技術提供・捜査協力」インターポールを通じて加盟各国の重要機関にセキュリティ技術のスキル向上トレーニングを提供トレンドマイクロCEOのエバ・チェンと、インターポール（International Criminal Police Organization:ICPO、国際刑事警察機構）事務総長が会談し、サイバー犯罪対策に関するインターポールへの協力関係を築くことで合意ネットバンキング被害の拡大防止に役立つ情報を提供し感謝状を授与警視庁から感謝状を授与。ネットバンキングの不正送金事案に関し、被害の拡大防止に役立つ効果的な情報を提供し評価される（2014年4月発表） FBI 「ネットバンク利用者攻撃ツール作者が罪を認める－トレンドマイクロがFBIに捜査協力」米連邦捜査局（FBI）に長期間に渡り捜査協力した他、犯人特定に役立つ情報を提供（2014年1月発表）【日本・世界を守るトレンドマ゗クロのビックデータ】 • レピュテーションへのクエリ対応約160億世界中で約1.5億の脅威収集デバイス 1日約100テラバイトのデータ処理約10億 1日約2.5億の脅威をブロック 3 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 約30万 • ファイル、メール、 URLなどの分析 • 新しい脅威の登録「サイバー攻撃の現状」インターネットバンキングの脅威 30,000 25,000 20,000 ・国内端末の台数は 44,164件と倍増・自動送金システムを国内で確認 10,000 5,000 0 11.1% 13.8% 45.2% 40.0% 2,748 16.9% 30.0% 21.3% 15.1% 2,205 1,171 17.6% 20.0% 22,175 1,199 11.0% 703 310 6,591 7,338 4,431 4,384 2,473 2,844 3,455 1,289 法人 0.0% 法人割合プログラムは400万個 •iOSを狙う不正プログラムも登場 3,000,000 31.5% 10.0% モバイルの脅威 4,000,000 •Android向け不正 4,000,000 人気ブランドの偽サイト割合ショッピング関連金融関連ソーシャル・クラウド関連ゲーム関連 A社 B社 C社 D社 E社標的型攻撃の脅威 60.0% 49.2% 比率 50.0% 32.4% 40.0% 16.4% 9.8% 30.0% 20.0% 10.0% 2,000,000 検索条件：高級ブランド名＋激安 46.2% 6,023 （2014年は11月末時点）個人 •誘導されたユーザ数は •計1,670,000ユーザ •ショッピングサイト・金融が約8割 5.4% 50.0% 23.1% 15,000 （※トレンドマ゗クロ調べ）偽サイトの脅威 29.5% 4.2% 国内法人からの解析依頼のうち、遠隔操作ツールが確認されたのは約5割 0.0% 1,400,000 1,000,000 時期 350,000 0 4 2012年 2013年 2014年 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 業種 2014年2月出版・通販製造 2014年7月小売 2014年8月航空 2014年9月従業員数約270名約430名約170名約10,000名漏えい情報約1,160件の顧客情報約6万2,000件の顧客情報約900件の顧客情報約19万件の顧客情報「IoT社会を生きる」（東京五輪は通過点に過ぎず）」東京五輪（2020年）【世界】市場は約400億円規模接続数は300億台* 現在の牽引役は「欧米中心」・オリンピックシステム（ITシステム、゗ンシデント対応体制、情報共有スキーム）をモデル化・セキュリテゖ人材の国内及び海外への派遣や採用支援 *参考資料：IDC「Worldwide Internet of Things 2014-2020 Forecast: Forecast Update and Revenue by Technology Split」(2014) 接続される媒体が数えられなくなる時代「日本」が牽引役になる時代へ東京オリンピックシステム || システムのJapan ブランド化 ↓ IoT推進システム（ゕジゕ・ゕフリカ等の市場へ輸出）【変化に欠かせないコト・モノ】 変化を許容しない社会からの脱却（阻害要因となる法制度等をIoTの変化に関しては保護をする） ASEANパートナーシップ強化（日本企業のより安全な海外進出等を目指し、且、サ゗バー犯罪捜査連携やICSセキュリテゖなどの連携） セキュリテゖ人材（自然に人材が育つ環境の構築、「国家を支える人材」と「企業を支える人材」の育成）法制度・ガ゗ドラ゗ン等の整備を待つと、開発や連携が遅れ、日本はIoT後進国になる可能性も 5 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 「変化を許容しない社会からの脱却」時代の変化に対応できない法やガ゗ドラ゗ンが日本の技術やものづくり・産業振興を止めている可能性がある。（海外への人材流出なども招く） IT及びIoTは日々進化している【IoT時代の変化を阻害している例】自動車 • 自動走行運転研究の実施制限や自動車開発への弊害通信 • 日本の全ての媒体が繋がる社会を想定出来ていないセキュリテゖ（日本のものづくりの伝統と発展の驚異） ⇅ 法制定/改正には年単位の時間を要する ⇓ 東京五輪のシステム開発にも影響を及ぼす可能性 • 学習及び人材育成機会の損失 (攻撃自体及び攻撃者等の研究が行いにくい) など【トレンドマ゗クロが提供できること】 Internet どの媒体が繋がっても守られる環境の提供ネットワークに繋がる各種デバイス 6 • 不正サイトの接続防御 • 不正な通信の検知・防御 • IoTデバイス脆弱性対策（仮のパッチによる保護） • URLフィルタリング • 帯域の制御 • ルータ自身のセキュリティ診断 Copyright © 2015 Trend Micro Incorporated. All rights reserved. ●「オリンピック技術開発推進令(仮)」等による、現行法を改正せずとも調査研究や実証実験に限定して行うことの出来る国家体制 ●期間を東京五輪迄と定め、当該令の試行運用も兼ねる。そして当該令の継続へ（東京五輪の成果や発展をみて判断） →「IoT推進令(仮)」へ「ASEANにおけるパートナーシップ」【短期的】国内における体制確立・定期的なカンフゔレンス開催・トレーニングの提供【中長期的】NISCやJPCERT/CCの連携による情報共有と国際連携スキームへサイバー攻撃対応体制の構築・輸出・連携へ【ASEAN諸国】日本モデルを輸入。サ゗バー攻撃の懸念を軽減し、各国の主要産業に安定的な発展をもたらす。【日本】輸出によるITビジネス・人材の活性化。国内企業の ASEAN諸国への海外進出障壁を下げる。将来的には日・ASEAN諸国とのビックデータ連携も視野にサ゗バー犯罪撲滅のためのプロフゔ゗リング各国でのナレッジ蓄積・将来のビックデータ連携基盤 7 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 【トレンドマイクロが提供できること】・GSOCセキュリティ運用基盤の支援・ログやインシデント等の分析解析エンジニア・技術・トレンドマイクロで収集されている脅威の情報・アジア地域で培ったノウハウ・ナレッジの提供「セキュリティ人材の現状と課題」【人材における課題】 IT・サ゗バーセキュリテゖに対して…  経営者の意識が低い  専門性に長けた人材と幅広い知識を有する人材がそれぞれ不足  学ばずして利用できる消費者教育の欠如学ぶ場が無い教える人がいない意識の欠如リスクを知らないモラルが無い経営の欠如活用しない投資をしない産業振興の歯止めや人材不足を生み出す 8 Copyright © 2015 Trend Micro Incorporated. All rights reserved. IoT時代においてIT・サイバーセキュリティは切り離せない「言語」のようなもの ↓  スペシャリスト・ゼネラリストの1つのゴール・指標としての「国家資格」創設（例えば、スペシャリストはホワ゗トハッカー、ゼネラリストはCISOの゗メージ）  IT・サ゗バーセキュリテゖ教育の義務化  高等教育専門科目化  民間人からの教員派遣を可能に〒  企業規模に応じて、IT・サ゗バーセキュリテゖ担当室・担当者(CSIRT等)の常設  対応する人・組織への税制優遇等「国を支える人材」と「民間を支える人材」の育成「消費」する教育から「創造」する教育へほとんどの日本人がITの「利用」は出来るが、ITを活用した「創造」は出来ない義務教育での学習 IT・サ゗バーセキュリテゖ専門家の教員派遣将来的には専任教員での対応「人材創出」へ組織での活躍資格取得者の確保など、セキュリテゖ体制の強い組織への税制優遇等 [例] ・個人：所得税の減税・組織：法人税の減税情報セキュリテゖ担当者の常設。資格取得者の採用 9 IoT媒体の利用を前提とした教育推進・セキュリテゖモラル教育高等教育セキュリティ人材サイクル専門科目化取得者の国家資格の出口確保取得「国家を守る」人材と「企業を守る」人材スペシャリストとゼネラリストなどを育成新規国家資格の創設【トレンドマイクロが提供できること】・トレーニング教材の提供・指導者の派遣 [幼児～社会人（技術者、CISO向け等）の幅広い教育への対応] Copyright © 2015 Trend Micro Incorporated. All rights reserved. 総括消費セキュリティは事業・ビジネス推進を阻害するものヒトモノ組織情報セキュリテゖに対して、経営層や゗ンターネット利用者の意識が低い IoT社会は誰も避けることのできないスピードで浸透する創造・人材〒出口の不足・IT/サ゗バーセキュリテゖの教育不足等・進化のスピードに追い付けない法等によって、研究や教育が停滞法・ガ゗ドラ゗ン変更等によって企業の対応が増える、且、投資メリットを感じられない・積極的なセキュリテゖ投資（人・モノ・情報など）が出来ない NISCの司令塔としての地位確立・各省個別での情報連携スキームが構築・情報の分散・連携の不足等 10 Copyright © 2015 Trend Micro Incorporated. All rights reserved. セキュリティは事業・ビジネス推進を加速させるもの ●経営責任としてのセキュリテゖを義務化 ●国家資格の創設 ●指導要領反映を目指した教育改革 ⇓ 雇用創出・未来創造 ●オリンピック・IoTを阻害せず、国家としての推進するより強い指針 ⇓ 次世代を担う人材の育成 ●セキュリテゖ窓口（CSIRT）常設 ●税制優遇措置等 ⇓ 安定したセキュリティ体制 ●NISCの゗ンテリジェンス強化（民間+省庁連携スキーム整理・集約） ●ASEANにおけるサ゗バーセキュリテゖ分野の地位確立 ⇓ 国際連携と情報集積能力向上デジタル情報を安全に交換できる世界の実現へ 11 Copyright © 2015 Trend Micro Incorporated. All rights reserved. • 参考資料 – 組織におけるセキュリテゖ対策実態調査抜粋 12 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 業種別セキュリテゖ対策包括度出典：2014年3月トレンドマ゗クロ実施「組織におけるセキュリテゖ対策実態調査」 URL：http://www.trendmicro.co.jp/jp/security-intelligence/sr/sor2014/index.html 13 Copyright © 2015 Trend Micro Incorporated. All rights reserved. ITセキュリテゖは経営リスクとしての認知があるか？割合セキュリテゖを経営リスクとして十分認識している 38.0% セキュリテゖを経営リスクとしてある程度認識している 42.0% セキュリテゖを経営リスクとしてあまり認識していない 12.7% セキュリテゖを経営リスクとして十分認識していない 4.5% 分からない 2.7% 出典：2014年3月トレンドマ゗クロ実施「組織におけるセキュリテゖ対策実態調査」 URL：http://www.trendmicro.co.jp/jp/security-intelligence/sr/sor2014/index.html 14 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 対策包括度スコア 72.5 55.5 41.8 33.6 29.3 組織体制・従業員への施策も不十分従業員教育を定期的あるいは随時行っている 29.2% 従業員向けのガ゗ドラ゗ンが存在し、定期的あるいは随時更新されている 28.9% 専門の対応人員、組織が社内に存在する 27.2% セキュリテゖポリシーが存在し、定期的あるいは随時更新されている 27.0% サ゗バー攻撃、情報漏えいに関する注意喚起を定期的に行っている出典：2014年3月トレンドマ゗クロ実施「組織におけるセキュリテゖ対策実態調査」 URL：http://www.trendmicro.co.jp/jp/security-intelligence/sr/sor2014/index.html 15 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 24.7% ゗ンシデント対応とその力量は個人任せ • 担当者の技術力向上を図っているのは51.4％ • 対応の枠組みがあるのはわずか5.6％セキュリティ担当者向けの取り組み実施状況セキュリティ担当者向けの取り組み実施状況セキュリテゖ担当部門社内講習会 38.7 14.8 CSIRT/SOCいずれか外部講習会サ゗バー攻撃演習 26.6 10.0 30.9 69.1 17.6 5.66.610.1 20.8 実施している 20% 46.5 40% 53.4 77.7 55.8 CSIRT 3.7 6.110.2 80.0 SOC 3.0 6.610.5 79.9 0% 0% 5.4 10.3 60% 実施予定・検討中 80% 100% 実施予定なし出典：2014年8月トレンドマ゗クロ実施「セキュリテゖ教育・組織体制に関する実態調査2014」 URL：http://www.trendmicro.co.jp/jp/security-intelligence/sr/sor2014/index.html 16 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 20% 40% 60% 設立済みいずれか設立予定あり時期未定ながらいずれか設立予定あり設立予定なし 80% 100% 組織体制強化への取り組みは道半ば • 体制強化を阻害する最大要因は「社内ノウハウ」と「必要性の認識」の欠如担当者向け施策を実施しない理由 CSIRT/SOCを構築しない理由必要性がない 29.7 社内にノウハウがない 33.8 29.4 必要性がない 33.3 社内にノウハウがない他の取り組みで十分 22.7 他の取り組みで十分 22.0 お金がかかるお金がかかる 21.9 12.7 経営・意思決定層の理解が得られな経営・意思決定層の理解が得ら 9.9 れないその他 0.8 0.0 5.0 10.0 15.0 20.0 25.0 30.0 35.0 出典：2014年8月トレンドマ゗クロ実施「セキュリテゖ教育・組織体制に関する実態調査2014」 URL：http://www.trendmicro.co.jp/jp/security-intelligence/sr/sor2014/index.html 17 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 10.7 いその他 1.2 0 10 20 30 40