山内智生

○山内政府参考人　お答え申し上げます。 　ＩＤ、パスワード以外のソフトウェアなどの脆弱性を狙ったサイバー攻撃が増えているなど、ＩｏＴ機器を悪用するサイバー攻撃が年々巧妙化している状況だと認識してございます。 　こういうものも含めてサイバー攻撃に機動的に対応するために、今回の法改正によって、従来のＩＤ、パスワードに不備があるＩｏＴ機器の調査に加えて、先ほど申し上げましたソフトウェアなどに脆弱性のあるＩｏＴ機器、既にマルウェアに感染しているＩｏＴ機器にも調査対象を拡大することで、サイバー攻撃に悪用されるおそれのあるＩｏＴ機器により総合的に対応することが可能になるというふうに考えてございます。 　もう一点御指摘のあった機種特定が困難なものにつきましては、調査の過程で得られる情報、メーカーなどの関係者との連携によって得られた情報を組み合わせて分析することによって、機種が特定できる割合を今まで

○山内政府参考人　お答え申し上げます。 　今御指摘がございましたＮＩＣＴが行う調査は、脆弱性のあるＩＤ、パスワードを利用していないかどうかを確認するための調査でございます。 　この調査、ＮＩＣＴが行う調査で得られた情報の取扱いにつきましては、総務大臣の認可を受けた実施計画に基づいて、例えば、情報を取り扱う区域は、管理区域とよく言いますが、生体認証を含む多要素認証により入退室の管理をする、情報を取り扱うサーバーについては、外部からの接続ができないような設定を行うとともに、アクセスできる職員を限定して、その通信履歴、ログを監視いたします。こういう極めて厳格な安全管理措置を講じておりまして、二〇一九年の調査開始以来、ＮＩＣＴにおいて遺漏なく適切に情報管理が行われていると認識をしております。 　さらに、情報の適正な取扱いを法的に担保する観点から、特定アクセス行為などに従事する者については、Ｎ

○山内政府参考人　お答え申し上げます。 　ＮＯＴＩＣＥに関する普及啓発に関しましては、専用のホームページを設けております。ここの中で、具体的な内容それから調査結果に基づいて脆弱性のあるＩｏＴ機器の現状などの情報の提供をしております。このホームページの運用に千三百万を充てております。 　今回の法案を踏まえまして、情報発信を強化するために新たな広報戦略の策定に取り組んでおります。このために、来年度の関係予算も増額して要求して、実際の活動をもう少し強化していきたいというふうに思っているところでございます。

○山内政府参考人　お答え申し上げます。 　御指摘のＮＯＴＩＣＥプロジェクトにつきましては、現行のＮＩＣＴ法で、ＮＩＣＴは、ＩＤ、パスワードに脆弱性のあるＩｏＴ機器の調査を行って、その結果を電気通信事業者に通知する業務を実施するとされております。これを踏まえまして、個別の利用者への注意喚起につきましては、ＮＩＣＴからの通知を受けた電気通信事業者が行っております。 　また、電気通信事業者が個別の利用者に注意喚起を行うに当たっての手順書の作成、それから、注意喚起を受けた利用者からの問合せ対応、ＮＯＴＩＣＥに関する一般的な情報発信、周知啓発、こういう共通的なものに関しましては、効率的に進めるために一元的に実施することが適当だと思われるものがございます。こういうものに関しましては、総務省が委託によりＮＯＴＩＣＥサポートセンターを設置してこれらの業務を行うという構造にしてございます。 　このよう

○山内政府参考人　お答え申し上げます。 　ＩｏＴ機器、インターネット・オブ・シングスの略称でございますが、この普及が進む中で、このようなＩｏＴ機器は無線ＬＡＮ等の無線技術に関わりが深いものでございます、そのようなものが使う電波の適正な利用を確保するためには、ＩｏＴ機器に係るセキュリティーの強化を図っていくということが不可欠でございます。 　本取組では、無線技術を活用したＩｏＴ機器の利用者に対する注意喚起を行うことで基本的な理解を深めて、その結果として、感染通信や攻撃通信などによる不要な電波の発射が抑制されるというふうに期待をしております。 　これにより、安心、安全に電波を利用できる環境が整備されて、もって効率的な電波の利用の促進がされるということから、電波利用料の使途に定めてあります、電波法第百三条の二第四項第十二号でございますが、電波の能率的な利用を確保するリテラシーの向上の活動に

○山内政府参考人　お答え申し上げます。 　今委員から御指摘のありました、インターネットに直接接続をされていない、例えば家庭内にある機器がそうでございますが、こういうローカルなネットワークに接続をされている機器に関しましては、一般的にインターネットに直接接続されている機器などによって管理をされております。 　このため、このプロジェクトは、特定アクセス行為による調査の対象となっているインターネットに直接接続されている機器についてＩＤ、パスワードなどの適切な対策が講じられているのであればサイバー攻撃の多くを防ぐことが可能でございますので、ＮＯＴＩＣＥについてはセキュリティー対策として十分効果があると考えております。 　一方、その上で、ローカルなネットワーク、先ほど申し上げた対象外になっている機器につきましては、特定アクセス行為で対象にしておりませんので、一義的には当該機器それからネットワー

○山内政府参考人　お答え申し上げます。 　ＩｏＴ機器について厳密な定義があるわけではございません。実は、法律上でもＩｏＴ機器という言葉は使ってございませんが、今回、ＮＯＴＩＣＥのプロジェクトで調査の対象になっておりますのは、インターネットに直接接続されている機器でございます。ＩｏＴ機器とはインターネット・オブ・シングスでございますので、こういう、物がインターネットに接続されている状態を総称してございます。 　このプロジェクトの中では、ＩＤ、パスワードに脆弱性のあるインターネットに直接接続されている機器を調査いたしまして、利用者への注意喚起を通じてセキュリティー対策を促進するということを目的としておりますので、この目的に照らしますと、ＩｏＴ機器、先ほど申し上げた総称の中に入るかどうかは別にしても、脆弱性のある機器は全て対象になるというふうに考えております。 　他方、特定アクセス行為の調

○山内政府参考人　お答え申し上げます。 　今委員が御指摘のとおり、機種が特定できない場合には、私どもは利用者に対して通知をすることが困難な状態が今起きてございます。 　したがいまして、今後、調査の過程で得られる情報、それから、メーカー等これから幅広い関係者と連携をしていきたいと思ってございますが、この連携によって得られた情報を組み合わせて分析することによって、機種が特定できる数を増やしていきたいというふうに思ってございます。さらに、機種特定がたとえできない場合であっても、一般向けの情報発信を行い、ある特徴を捉まえた注意喚起を行うことによって、少しでも対策が進むよう努力をしてまいりたいと考えております。

○山内政府参考人　お答え申し上げます。 　御指摘の調査につきましては、ＮＯＴＩＣＥのプロジェクトに参加をしている電気通信事業者七十九社のネットワークの下で、インターネットに直接接続をしている約一億台のＩｏＴ機器を対象に調査を毎月実施しております。 　具体的な方法といたしましては、サイバー攻撃に利用されたことのあるＩＤやパスワード、単純な英数字の羅列など容易に推測をされやすいＩＤ、パスワードを用いて、コンピューターを用いて実際にログインを試すことによって脆弱性の調査を行っております。 　御指摘の調査カバー率につきましては、具体的な数字を推計、公表はしておりませんが、主要な通信事業者が全てＮＯＴＩＣＥのプロジェクトに参加をしていることを踏まえますと、ＩｏＴ機器のセキュリティー対策を行うのに必要な調査範囲はカバーされているものと考えております。

○山内政府参考人　お答え申し上げます。 　ＮＩＣＴが行う調査によりＩＤ、パスワードに脆弱性がある機器が見つかった場合には、電気通信事業者への通知、それから事業者を通じて機器の利用者への注意喚起を行って、ＩＤ、パスワードの変更等の対応をお願いしております。二〇一九年の二月から調査を開始いたしまして、これまでの累計で延べ約十万件の通知を行ってまいりました。 　また、その通知対象となっている機器のうち、ルーター及びネットワークカメラがその大半を占めている状況だと判明しております。 　通知を受けた電気通信事業者においては、脆弱性のあるＩＤ、パスワードの変更等を行うよう、個別の利用者への注意喚起を行ってまいりました。 　また、個別の利用者への注意喚起に加えて、設定に不備が多く見つかった機器のメーカーにも働きかけを行い、初期パスワードを変更しないとその後の操作ができないなどのセキュリティー機能