総務省サイバーセキュリティ統括官

○政府参考人（山内智生君）　お答え申し上げます。 　まず、ＮＩＣＴでは、これ前回の経緯でございますが、平成三十年に成立した改正ＮＩＣＴ法に基づき、平成三十一年度から今年度末までの時限業務として、ＩＤ、パスワードの設定に脆弱性があるＩｏＴ機器の調査を実施してまいりました。委員御指摘、御質問のところにございました今年度末までにした理由でございますが、今おっしゃった、ある程度目途が付くということを想定をしてこの時限ということを考えていたところでございます。 　こうした取組を通じて一定の成果は上がってまいりましたが、このＮＯＴＩＣＥによる調査を継続をしている中で、ＩｏＴ機器のライフサイクルが私どもが想定をした以上に長いということが明らかになってまいりました。そして、依然としてＩＤ、パスワードの設定に脆弱性があるＩｏＴ機器を標的としたサイバー攻撃が続々と発生をしておりまして、ＩｏＴ機器を悪用した

○政府参考人（山内智生君）　お答え申し上げます。 　まず、実績についてでございますが、ＩＤ、パスワードの設定の不備にあるＩｏＴ機器の調査に関しましては、国内のインターネットに直接接続をされている約一億台のＩｏＴ機器を対象に実施をしております。ＩＤ、パスワードに不備のある機器が接続をされたＩＰアドレスを累計十万件以上、通信事業者に向かって通知をしてまいりました。 　この通知を受けた通信事業者においては、不備のあるＩＤ、パスワードの変更などを行うよう、個別の利用者への注意喚起を行っております。また、設定に不備が多く見付かった機器のメーカーにも働きかけを行いまして、初期パスワードに変更が、をしなければその後の操作ができないようにセキュリティー機能を強化した製品の提供にもつながっております。 　これらの取組によりまして、少なくとも数万台規模のＩｏＴ機器について、ＩＤ、パスワードの脆弱性の解消

○政府参考人（山内智生君）　お答え申し上げます。 　今御指摘をいただきましたが、情報通信研究機構法に基づいてＮＩＣＴが行う特定アクセス行為による調査で得られた情報の取扱いにつきましては、総務大臣の認可を受けた実施計画に基づいて、例えば、情報を取り扱う区域では、生体認証を含む多要素認証により入退室を厳格に管理、情報を取り扱うサーバーは外部からの接続ができないよう設定するとともに、アクセスできる職員を限定をしてその通信履歴を監視するなど、極めて厳格な安全管理措置を講じております。平成三十一年の調査開始以来、ＮＩＣＴにおいて遺漏なく適切に情報管理が行われているものと認識をしております。 　さらに、情報の適切な取扱いを法的に担保する観点から、特定アクセス行為などに従事する者については、機構法上、秘密保持の義務が課せられております。この同義務に違反をした場合の罰則も併せて設けられることに加えまし

○政府参考人（山内智生君）　お答え申し上げます。 　委員御指摘のように、社会全体のデジタル化に伴ってＩｏＴ機器は急速に普及する一方、こうした機器を悪用したサイバー攻撃のリスクは引き続き高い状況にあると認識をしております。さらに、このようなサイバー攻撃は、情報通信サービスの安定的な提供に支障を生じさせ、私たちの日常生活や社会経済活動に大きな影響を及ぼす可能性がございます。 　これを踏まえて、ＮＩＣＴにおいてはこれまで、ＩＤ、パスワードに脆弱性のあるＩｏＴ機器の調査を実施し、一定の成果が上がっておりますが、最近ではＩＤ、パスワード以外のソフトウエアの脆弱性を狙ったサイバー攻撃も増加をする傾向にございます。 　こうした巧妙化、多様化するサイバー攻撃に対応するため、今回の法案では、ＩＤ、パスワード以外のソフトウエアなどの脆弱性を有するＩｏＴ機器にも調査対象を拡充することとしております。また、

○政府参考人（山内智生君）　お答え申し上げます。 　ＮＩＣＴは情報通信分野を専門とする我が国唯一の国立研究開発法人でございます。長年、サイバー攻撃に関する観測技術、対策技術の研究開発に取り組むなど、この分野において国内でも有数の専門的な知識を有すると思っております。 　具体的には、国内最大級の無差別型のサイバー攻撃の観測網、この開発の運用に加えまして、特定の組織を狙った標的型サイバー攻撃につきましては、実際の組織と見分けの付かない模擬的なネットワーク環境を構築をいたしまして、ここに攻撃者を誘い込むことで攻撃手法を明らかにする観測システムの開発、運用、このようなものに取り組んでおります。得られた観測結果を基に非常に高度な対策技術の研究開発を進めております。 　また、こうした研究開発を進めるに当たりましては、ＮＩＣＴの中に専門のセキュリティーアナリストで構成される解析チームを編成をして、

○政府参考人（山内智生君）　お答え申し上げます。 　今委員御指摘のとおり、これはＮＩＣＴが観測をするサイバー攻撃の関連の通信数でございますが、二〇一五年以降、増加の傾向にございます。 　この増加の傾向でございますけれども、要因はいろいろあるのかもしれませんが、私どもが推測をするに、ネットワークカメラなどのＩｏＴ機器が非常に多くなってきていると。デジタル化を背景といたしまして世界規模でこういう利用が増加をしているということがございまして、これに伴って脆弱性のあるＩｏＴ機器が増え、そしてサイバー攻撃がそれに伴って増えているという、そういう分析をしてございます。 　なお、二〇二〇年につきましては、少し特異的な攻撃があったというふうに技術者の方からは聞いております。でございますので、このトレンドとして徐々に上がってきていると、徐々に増加をしているというのが私どもが推測をしている傾向でございま

○政府参考人（山内智生君）　お答え申し上げます。 　ＮＩＣＴが行うＩＤ、パスワードの脆弱性のあるＩｏＴ機器調査につきましては、委員御指摘のとおり、今年度末までの五年間の時限措置としておりました。この背景といたしまして、この平成三十年の制度導入の当時、五年程度あれば新たな機器への置き換えができてＩｏＴ機器のセキュリティー対策が十分進展をするという、こういう想定に基づいたものでございました。 　しかしながら、直近の調査結果におきましても、ＩＤ、パスワードに脆弱性のあるＩｏＴ機器のうち約半数が十年以上前に発売をされた機器であるなど、ＩｏＴ機器のライフサイクルが私どもの想定以上に長いということが明らかになってございます。 　また、サイバー攻撃の手法も巧妙化、多様化をしております。最近でも、ＩＤ、パスワードに脆弱性のあるＩｏＴ機器を標的としたサイバー攻撃が発生しているほか、ＩＤ、パスワード以外

○政府参考人（山内智生君）　お答え申し上げます。 　まず、現状で申し上げますと、このＩＤ、パスワードの脆弱性があるＩｏＴ機器の調査に関しましては、委員の今御説明ありましたとおり、平成三十一年の調査の開始に伴ってＮＩＣＴに設置をした専門組織で実施をしております。 　今回、調査対象を拡充をして幅広い関係者への情報提供、助言を新たにＮＩＣＴの業務として位置付けることから、更なる体制強化が必要になるというふうに考えてございます。 　まず、そのために必要な作業として、総務省として、令和六年度に向けて体制強化に向けて必要な予算を増額して要求をして、必要に応じてＮＩＣＴが外部の知見のリソースを活用できるよう、今回の法案では、御指摘のとおり、特定アクセス行為に関する業務の一部について外部委託の制度を創設をするということにしております。 　現時点で人員がどれくらい要るかということについては、まだ確た

○政府参考人（山内智生君）　お答え申し上げます。 　メーカーやシステムベンダーへの情報提供及び助言といたしましては、例えば、特定のＩｏＴ機器について検知頻度が高い旨の情報を伝えることによって、メーカーなどを通じて、ユーザーが適切な設定が行えるよう、ユーザーへの周知、マニュアルの改善をお願いをするということを想定をしております。この際共有される情報には、先ほど御指摘の特定アクセス行為、これによって収集されるＩＰアドレスなどは含まれておりません。 　なお、このような情報共有につきましては、ＮＯＴＩＣＥ、このプロジェクトに協力をいただくメーカーやシステムベンダー、通信事業者などに限定をして、情報管理をしっかり行いながら進めていくことを検討しております。

○政府参考人（山内智生君）　お答え申し上げます。 　ＮＩＣＴが通信履歴等の電磁的記録の作成業務について委託を行う場合、この委託先においてはＮＩＣＴが行っている情報の安全管理措置と同等の措置を講じられると、これなどの、こういうことを実施計画で定める必要がございます。総務大臣は、当該措置の内容の妥当性を判断した上で実施計画の認可を行うということになります。 　御質問の再委託につきまして、法律上の明確な定めはございませんが、このような観点を踏まえますと、再委託については、ＮＩＣＴと同等の措置が再委託先で講じられるということを実際に確認をするということが困難でございますので、実施計画においてこれを行わないということを確認をする予定でございます。