「情報セキュリティ白書」は、独立行政法人情報処理推進機構（IPA）が毎年発行する情報セキュリティに関する書籍です。企業のシステム開発者・運用者に対して情報セキュリティの現状や、今後の対策のために役立つ情報を提供するとともに、パソコンやスマートフォン等の情報機器を利用する一般の方にも情報セキュリティの概観や身近な話題を提供することを目的としています。

2016年はIT利活用の場が一段と広がることが明確になった年でした。IoT、AI、ビッグデータ利活用等によるサービス革新や「つながる社会」への期待が高まっています。

一方で、2016年はそのリスクが顕在化する年でもありました。2016年9月、脆弱なIoT機器15万台以上が乗っ取られ、史上最大規模のDDoS攻撃が起こりました。重要インフラへの攻撃は海外で続き、ウクライナでは2015年に引き続きサイバー攻撃による大規模停電が発生しました。ランサムウェアによる攻撃は激しさを増し、世界中で被害が発生しました。標的型攻撃も継続し、国内の企業、大学等の被害が続きました。

セキュリティ対策の観点から見ると、2016年は新しい制度に基づく施策が次々と実行に移された年でもあったといえます。独立行政法人・指定法人に対する情報セキュリティ対策の監査・情報システムに対する不正な通信の監視が開始され、セキュリティ専門家の資格制度が創設されました。「サイバーセキュリティ経営ガイドライン」等により、民間における経営層の意識改革とCISO等の制度構築の進展もありました。これらの対策の効果は少しずつあらわれています。

しかしながら、サイバー攻撃によるインシデントは継続しており、基本的な対策がまだ十分できていないことも明らかです。ITによる「つながる社会」はますます拡大し、脅威に対し備えるべきことは山のようにあります。

IPAから皆様にお伝えしたいのは、「サイバーセキュリティ対策に魔法の杖はない」ということです。政府、セキュリティベンダ、あるいはセキュリティ専門家が何かをすればそれで安心、ということはありません。攻撃の脅威は確かに大きいのですが、それに対してあらゆる組織、個人が何をすべきか、それぞれに考え、計画し、例えば「脆弱性をなくす」といった基本的なことを着実に実施する必要があります。

このような認識のもと、序章では2016年度の主な出来事を概説しています。

第1章では国内外で発生した情報セキュリティインシデントの状況、具体的なインシデント事例と攻撃の手口、脆弱性の動向や企業・政府等における情報セキュリティ対策の状況を解説しています。

第2章では情報セキュリティを支える基盤の動向として、国内外における情報セキュリティ政策や関連法の整備状況、情報セキュリティ人材の現状、国際標準化の動向、情報セキュリティの普及啓発活動等を解説しています。

第3章では個別の課題について掘り下げ、制御システム、IoT、スマートデバイス、金融（Fintech）、オリンピックにおける情報セキュリティを取り上げています。