山内智生

○政府参考人（山内智生君）　理論的には否定はされないかと思います。 　今申し上げたとおり、ＮＩＣＴと同等の措置が講じられているかどうかということを確認をすることになりますが、現状、通信の電磁的な記録以外の委託先においてもＮＩＣＴの中で十分な安全管理措置が講じられているということを確認をいたしますので、この例に倣いますと、再委託先の方に関しても、ＮＩＣＴの中で同じような安全管理措置が講じられているということを確認をすることになります。 　これは、現実的には再委託の方を、実際にこういう管理措置を行うことになりますので、なかなかこういう方が現れるということは想定できないのではないかと思っております。

○山内政府参考人　お答え申し上げます。 　ＮＩＣＴでは、二〇一八年に成立をした今御指摘の改正ＮＩＣＴ法に基づきまして、二〇一九年から、今年度末までの時限の業務として、ＩＤ、パスワードの設定に不備のあるＩｏＴ機器の調査を実施してまいりました。 　この調査は、国内のインターネットに直接接続されております約一億台のＩｏＴ機器を対象に実施しております。ＩＤ、パスワードに不備のある機器が接続されたＩＰアドレスを今までに累計十万件以上、電気通信事業者に通知しております。 　通知を受けた電気通信事業者においては、不備のあるＩＤ、パスワードの変更等を行うよう、個別の利用者への注意喚起を行っております。 　また、設定に不備が多く見つかった機器、調査の過程の中でこういう機器が見つかった場合にはメーカーにも働きかけを行い、初期パスワードの変更をしなければその後の操作ができないなどのセキュリティー機能の強

○山内政府参考人　お答え申し上げます。 　今委員御指摘のとおり、実際に機器を減らす取組を行うためには、メーカー、作っている方、それから利用する方、利用者の双方の取組が重要であるというふうに認識をしてございます。 　特に、メーカーにつきましては、機器の脆弱性に関する情報、それからセキュリティーに関する対策プログラムの提供、場合によって製品のサポートが終わる場合がございますので、こういう場合には終わるということを周知していただく、利用者が対応するために必要なサポートを提供していただくということと、利用者が意識をしなくともセキュリティーが確保される製品の開発などに取り組むということが求められるというふうに考えてございます。 　メーカーと利用者による取組に加えまして、例えば利用者が法人、いわゆる企業ユーザーの場合でございますが、ＩｏＴ機器の設置、管理を外部委託しているというケースが多くござい

○山内政府参考人　ありがとうございます。 　今申し上げましたとおり、今まで、従来ですと、特に利用者、個別の利用者に対する注意喚起ということを行ってまいりました。先ほど申し上げましたが、これに加えまして作っている方、ベンダーの方、そして今まで注目をしてまいりました法人ユーザーの方がなかなか、実際に責任を持っている方がどなたかお分かりにならないという場合がございます、この場合には、管理に責任を持っているシステムベンダーの方、こういう方を巻き込みます。情報を持っている関係の方にはセキュリティーのベンダーといった方々もいらっしゃいますので、こういう幅広い関係者の方を是非巻き込んで対応していきたいというふうに考えております。

○山内政府参考人　お答え申し上げます。 　御指摘のファームウェアとは、分かりやすく申し上げますとソフトウェアとハードウェアの中間的な存在、具体的に申し上げますと、ＩｏＴ機器を制御するために搭載されているソフトウェアのことを指しております。今御指摘がございましたが、ファームウェアを狙いますと制御権を取られてしまうということが起きるものですから、この脆弱性を狙ったサイバー攻撃が増加している状況にございます。

○山内政府参考人　お答え申し上げます。 　運用としては、今までと基本的には変わりません。まず電気通信事業者を通じて利用者の方に対して注意喚起を行うという、このメカニズム自身は変わりません。ただ、実効性を上げるために、先ほど申し上げましたとおり、関係者の方々、特に作っている方、利用者の方が実際に対策を行う前にセキュリティー対策を高めるといったこと、それから、管理者として、ユーザー以外に存在する方に直していただくということもございますので、こういう幅広い取組を是非進めていきたいというふうに思っているところでございます。

○山内政府参考人　お答え申し上げます。 　利用者に対するサポートという観点で、ＩｏＴ機器の利用者の知識が不十分であった場合、お願いしてもなかなか正しい設定を行うということが難しいということが想定されます。 　このため、総務省では、利用者に対して通知を行う際には、実際に見つかった機種ごとの設定資料を作成して、具体的に何をするかということをお教えする、こういう内容をまず提供させていただくといったこと、それから、電話対応可能なサポートセンターを用意いたしまして、ＩｏＴ機器に対する知識が不十分な方であっても正しく設定ができるよう、御利用者の支援に取り組んでおります。 　その観点では、先ほど、メーカーやシステムベンダーといった方々との連携強化の取組の一環として、設定変更を行わなくても一定のセキュリティーを確保できるようにということを申し上げましたが、こういう方々、メーカーや業者の方に対して設置

○山内政府参考人　お答え申し上げます。 　委員御指摘のとおり、企業や団体といった各組織におけるセキュリティーの人材の育成、確保は大変重要な課題だというふうに認識をしてございます。 　このような課題に対応するため、総務省では、ＮＩＣＴにおいて、その豊富な技術的知見を活用いたしまして、政府機関、地方自治体、重要インフラ事業者等を対象といたしまして、実践的なサイバー防御演習、ＣＹＤＥＲと申し上げます、ＣＹＤＥＲを実施しております。 　ＣＹＤＥＲは、受講者の事案対処能力を向上させるために、サイバー攻撃による事案の検知から回復までの一連の対処方法を実際に体験いただく演習でございます。二〇一七年度以降、毎年度、全都道府県の会場において計百回、三千名程度の規模で実施をしております。各組織内でのセキュリティー人材の育成、確保に貢献をしております。 　また、二〇二一年度から、各都道府県の会場だけでは

○山内政府参考人　お答え申し上げます。 　今御指摘のあったような、サイバーセキュリティーに関連するほかの組織と同じように、ＮＩＣＴにおいても、高度な知識、技術を有するサイバーセキュリティー分野の研究者、技術者を所内に維持、確保することは大変重要だというふうに思っております。 　このため、ＮＩＣＴにおいては、サイバーセキュリティーの研究開発に携わる職員の待遇の改善を進めるとともに、世界最大規模のサイバー攻撃観測網を有しております、このようなものを使った最先端のサイバーセキュリティー研究開発環境を整備しているというふうに承知をしております。 　総務省としても、ＮＩＣＴが高度な知識、技術を有するサイバーセキュリティー人材を維持、確保し続けることができるように、サイバーセキュリティーの研究開発に取り組む場としてのＮＩＣＴの魅力の向上に努めてまいります。

○山内政府参考人　お答え申し上げます。 　今御指摘のあったような、サイバーセキュリティーの知識や技術でございますが、これは、セキュリティー対策の向上に役に立つのと同時に、悪用される、そういうおそれもあるというふうに思っております。 　このため、総務省では、ＮＩＣＴを通じて実施をしているセキュリティー人材育成プログラムの中で、知識や技術についての教育と併せて倫理教育にも力を入れております。 　また、ＮＩＣＴ内部の職員に対しても、サイバーセキュリティーに関する研究データ、これを適切に管理するという旨を指導しているところでございます。 　総務省としては、こうした取組を通じて、サイバーセキュリティーの知識や技術を適切に活用できる人材の育成を引き続き推進してまいります。