はじめの情報処理安全確保支援士試験講座③総務省及びNICTが実施するNOTICEについて説明します！

今回も、過去の試験問題を題材にして、情報処理安全確保支援士試験で使用されている専門用語について説明します。

今回は、総務省及びNICT（国立研究開発法人情報通信研究機構）が実施するNOTICEについて説明します。

是非、最後までご覧いただけると嬉しいです。

総務省及びNICTが実施する「NOTICE」とは
まとめ

総務省及びNICTが実施する「NOTICE」とは

問題　総務省及び国立研究開発法人情報通信研究機構(NICT)が2019年2月から実施している取組”NOTICE”に関する記述のうち、適切なものはどれか。

ア　NICTが運用するダークネット観測網において，マルウェアに感染したIoT機器から到達するパケットを分析した結果を当該機器の製造者に提供し，国内での必要な対策を促す。

イ　国内のグローバルIPアドレスを有するIoT機器に対して，容易に推測されるパスワードを入力することなどによって，サイバー攻撃に悪用されるおそれのある機器を調査し，インターネットサービスプロバイダを通じて当該機器の利用者に注意喚起を行う。

ウ　国内の利用者からの申告に基づき，利用者の所有するIoT機器に対して無料でリモートから，侵入テストやOSの既知の脆弱性の有無の調査を実施し，結果を通知するとともに，利用者が自ら必要な対処ができるよう支援する。

エ　製品のリリース前に，不要にもかかわらず開放されているポートの存在，パスワードの設定漏れなど約200項目の脆弱性の有無を調査できるテストベッドを国内のIoT機器製造者向けに公開し，市場に流通するIoT機器のセキュリティ向上を目指す。
引用：情報処理技術者試験　平成３１年春　午前Ⅱ問10

総務省及びNICTが実施する「NOTICE」

NOTICEは、総務省及び国立研究開発法人情報通信研究機構（NICT）が2019年2月から実施している、サイバー攻撃に悪用されるおそれのあるIoT機器の調査及び利用者への注意喚起を行う取組です。

NOTICEの背景

近年、IoT機器の普及に伴い、脆弱性を悪用したサイバー攻撃が増加しています。これらの攻撃は、個人情報漏洩やサービス停止など、様々な被害をもたらす可能性があります。

NOTICEの目的

NOTICEは、インターネット上のIoT機器を調査し、脆弱性のある機器を特定することで、利用者へ注意喚起を行い、サイバー攻撃の被害を防ぐことを目的としています。

はじめのIoT機器に対するサイバー攻撃の経験談

ここで、はじめのIoT機器に対するサイバー攻撃の経験談をお話します。

前職で、Fortinet製のUTMの運用・保守を行っていた時に、とある顧客で、社内にあるWebカメラに対して、頻繁にインターネットからアクセスされているログを見つけたことがあります。最近では、企業や家庭での監視や子どもの見守りにWebカメラが広く利用されています。しかし、Webカメラではファームウェア（パソコンのOSに相当するもの）の更新が怠られがちで、その脆弱性を狙った攻撃が行われることが少なくありません。

Webカメラなどを導入する際は、メーカーがファームウェアの更新を適切に行っているかどうかを確認することをおすすめします。ドラマや映画で見るように、自分が監視しているはずのものが、知らず知らずのうちに他者によって監視されている可能性があります…。