総務委員会

○おおつき委員　まさに、それらを総括すると、今までの総務省やＮＩＣＴ等が呼びかけの対象としてきた基礎知識のない管理者ではなく、本当にアプローチすべき相手というのは、情報システムを管理する事業者、いわゆるシステムインテグレーターとかＳＩｅｒとか言われる方々などの、ある程度サイバーセキュリティーに対する知見を持った者でありまして、総務省等が行ってきたアプローチはやはり見直していく必要があると私は考えます。 　更に伺います。 　システムインテグレーター等の知見のある者によって意図的に生じる脆弱性のある機器を今後どのように削減していく予定でしょうか。又は、サイバーセキュリティー対策を軽視する事業者に対する実効性のある支援だとか対応策だとか、是非伺いたいと思います。

○山内政府参考人　お答え申し上げます。 　今委員御指摘のとおりですが、法人利用者につきましては、法人利用者そのものというよりも、機器の設置や管理にシステムインテグレーターが関与しているということが多いと承知をしております。したがいまして、利用者に対する注意喚起も必要でございますが、システムインテグレーターによる取組を進めるということが重要だと思っております。 　ＮＯＴＩＣＥのプロジェクトで観測結果が分かりまして、脆弱性のあるＩｏＴ機器についての情報が把握できますと、対応すべき脆弱性、それを解消する方策を技術的に、具体的に分かる形でシステムインテグレーターに対して助言それから情報提供を行うという形を考えてございます。これによりまして、分からないといった、そういう状態をまず解消して、システムインテグレーターが積極的に対応いただける、こういう効果的な対策を是非推進していきたいというふうに思っ

○おおつき委員　まさにその通知の仕方について、これから伺いたいと思います。 　ＮＯＴＩＣＥのウェブサイトで公表されている今年八月度の実施状況によりますと、この取組による注意喚起が五千五十五件実施されました。ただ、そのうち三千四百六件は今年の七月に検知したものであったと伺っております。すなわち、約三分の二は前の月の通知からの繰越しであって十分な対処がされておらず、脆弱性のある機器がネットワークに接続されたままの状態、すなわち脆弱性のある状態が放置されてしまっているとも受け取れると思います。 　そこで、まず伺います。現在、ネットワークに接続する機器の脆弱性に対する注意喚起の通知方法はメールや郵送と伺っているんですけれども、その通知方法についてお伺いします。

○山内政府参考人　お答え申し上げます。 　今御指摘がございましたとおりでございますが、通常、電気通信事業者を通じた注意喚起については主にメールや郵送によって実施をされるという形になってございます。これは実際には事業者によって判断をされるというものでございますが、私どもが承知をしている主な方法はこの二つということでございます。

○おおつき委員　メールや郵送で本当に十分なのかどうか、やはりこの改正案を受けて見直すべき点があるんじゃないかなと思っております。 　先ほどのＩＣＴ―ＩＳＡＣの資料によりますと、注意喚起に基づく対処が進まない背景というのが、法人において問題のある機器の管理者等が特定できない場合や、業務の都合で意図的に外部から管理できるようにしているだとか、様々な要因があるようなんですけれども、メールや郵送ではやはり詐欺かなと思われるときがあるんじゃないかなと思うんですよね、それだけだと。いずれにしても、ＩＤやパスワード等に脆弱性があることでどういった問題が起こっているのか、あるいは将来どういった問題が起こり得るのか、その点がなかなか理解されていない表れなのではないかなと思っております。 　そこで、これまでの電子メールや郵送による注意喚起だけでは対処が十分に進んでいない理由を調査するとともに、電話や個別訪

○小森大臣政務官　先ほど参考人の方からも答弁がございましたとおり、電気通信事業者を通じた注意喚起については主としてメール若しくは郵送でなされているというところであります。 　注意喚起の方法につきましては、電気通信事業者、当該事業者に適切に判断していただくものでありますけれども、総務省といたしましては、議員御指摘の利用者による対応が進まないケースにおきましては、利用者のセキュリティー意識が十分でないことや、あるいは、これも御指摘がありましたけれども、企業においてＩｏＴ機器の管理者が明確でないこと、これらも一因ではないかというふうに考えているところでございます。 　このため、利用者による対応を進めるため、注意喚起の実効性を高めるための取組としては、今後、利用者への周知啓発を充実させることが大事であるというふうに考えておりまして、新たな広報戦略の策定も含めまして取り組んでまいりたいと思います

○おおつき委員　まさに意識を上げていく、これが必要になってくると思います。是非、新たな取組、通知の仕方についても十分に検討していただきたいと思っております。 　次に、サイバー攻撃の対処協会への委託についてお伺いします。 　サイバー攻撃でＩｏＴ機器等が悪用されることがないように管理者等へ通知や注意喚起をする業務というのは、現在、認定送信型対電気通信設備サイバー攻撃対処協会という協会に委託することができるんですけれども、この協会に所属しているのが、今、先ほどから申し上げているＩＣＴ―ＩＳＡＣだけが認定されているという状況です。 　そこで、現状、このサイバー攻撃対処協会がＩＣＴ―ＩＳＡＣのみである理由は何でしょうか。また、新たにＩＣＴ―ＩＳＡＣ以外の団体から認可申請があった場合は電気通信事業法第百十六条の二に規定する条件を満たす限り総務大臣は認定するとの理解でよろしいでしょうか。答弁をお願

○山内政府参考人　お答え申し上げます。 　まず、管理者への通知業務を行うに当たっては、サイバー攻撃に悪用されるおそれのある機微な情報を扱っているということから、情報の適切な管理を行うための適切な制度的、技術的知見を有する組織に委託する必要があると認識をしてございます。 　したがいまして、本法案では、上記要件を満たす組織として、サイバー攻撃に関する情報共有の体制を持っている委員御指摘の協会、認定送信型対電気通信設備サイバー攻撃対処協会、これを定義いたしまして、委託可能な組織として規定しているという状態でございます。 　この協会とは、サイバー攻撃への対処に関する業務を適正かつ確実に行うことができる能力を有するなど、所要の要件を満たす団体として、これも御指摘がございました電気通信事業法に基づいて総務大臣が認定するという形になってございます。 　したがいまして、所要の要件を満たす団体につい

○おおつき委員　では、次の質問に行きます。 　先ほど人員体制については湯原委員からも質問がありましたが、ＮＩＣＴの取組において実際ある程度の自動化がなされているようなんですけれども、調査結果の分析や精査、判定、そして問題となったネットワークに接続する機器の管理者等に注意喚起を行うに当たっては、サイバーセキュリティーに対する知見を有する者が必要となります。 　管理者等への通知をするにはやはり工夫が求められる中で、実績を見ると相当な数を通知しているようですし、相当な御苦労がうかがえます。そして、今回の改正案だけでは、その改善も踏まえて、ネットワークに接続する機器の製造事業者等を含む関係者に伝えて、より実効的かつ効率的に対策していこうという考えかと思っております。 　そこで、現在、デジタル人材の不足と盛んに言われている中で、ＮＩＣＴ、先ほど湯原委員の方では百十二人ということだったんですけれ

○山内政府参考人　お答え申し上げます。 　まず、サイバー空間の環境を見ますと、ＩｏＴ機器の利用はどんどん拡大をしている、ＩｏＴ機器を悪用するサイバー攻撃も多様化をしている。これも御指摘がございましたが、ＮＯＴＩＣＥの業務量は開始当初から比較いたしますと増大する傾向にございます。 　また、サイバー攻撃の多様化に対応するため、注意喚起の対象も拡大をしてまいりました。したがいまして、体制や人員の拡充が必要になるということを認識してございます。 　今後とも、ＮＩＣＴそれからＩＣＴ―ＩＳＡＣとも連携をして、予算等によるそういう強化も含めて、体制、人員の強化に努めてまいりたいというふうに考えてございます。