重要インフラのサイバーセキュリティに係る行動計画

重要インフラを取り巻く脅威は年々高度化・巧妙化しており、サイバー攻撃による被害が増加していますが、その一方で、重要インフラの分野ごとにシステムの利用形態が異なることから、各組織における脅威の差異が拡大しています。本行動計画では、2017年4月に発表された重要インフラの情報セキュリティに係る第4次行動計画(以下、第 4 次行動計画という）を基本としつつ、重要インフラ分野全体として今後の脅威の動向、システム、資産を取り巻く環境変化に適確に対応できるようにすることで、官民連携に基づく重要インフラ防護の一層の強化を図ることを目的としています。企業規模を問わず、いつどの企業が被害に遭ってもおかしくない状況において、本行動計画にて示される対策例はすべての企業において有益なものであるといえるでしょう。

本行動計画には
「１．障害対応体制の強化」
「２．安全基準等の整備及び推進」
「３．情報共有体制の強化」
「４．リスクマネジメントの活用」
「５．防護基盤の強化」
といった５つの施策群と補強・改善の方向性等が示されているが、特に「１．障害対応体制の強化」で示す内容が大きく改定されました。

第4次行動計画では、「障害対応体制の強化」に関する事項において、重要インフラ事業者が実施すべき内容やその手順などを示し、その効果を検証していました。例えば、情報疎通機能を定め、その効果検証を行うことや、重要インフラ事業者を分野別に集め、横断演習を行うことなどを取り上げていたのです。しかし前述した通り、サイバー攻撃が巧妙化・高度化し、攻撃を予見して防ぎきることが困難な状況にあり、さらに自組織が攻撃を受けてサービスが維持できなくなった際に、自組織のみならずサービスのステークホルダーにまで多大な被害が発生する可能性があります。これらの事態を鑑み、本行動計画の改定では、重要インフラ事業者において「障害対応体制の強化」に関して取り組むべき事項として以下の５つを示しています。

1. ① 経営層、最高情報セキュリティ責任者（CISO）、戦略マネジメント層、システム担当者の役割と責任に基づく、組織一丸となった対応

2. ② リスクマネジメントと危機管理の一体的な対応

3. ③ BCP 及び IT-BCP、コンピュータセキュリティに関する事故対応チーム（CSIRT）等、インシデントの発生時に対処できる体制の整備

4. ④ 日々の運用で、発見した脅威や脆弱性を払拭するような管理策の実施

5. ⑤ 自組織に有効的と考えられる監査の実施とその結果の活用

従来、サイバーセキュリティに係る取り組みはシステム担当者だけで対応されることが多かったのですが、組織全体を俯瞰した上でのリスクの明確化、経営レベルでの対応策の検討が不可欠です。
管理を適切にすれば防げた障害が繰り返し発生していることを鑑みて、本行動計画では、組織統治にサイバーセキュリティを組み入れるための取り組みを推進することが求められています。サイバーセキュリティの実効性を高めるためには、画一的な安全基準等を参照するだけでは不十分であり、自組織の特性を明確化し、経営層からシステム担当者までの各階層の視点を有機的に組み合わせたリスクマネジメントを経て、組織の特性に応じた適切な予防措置及び被害発生時の措置を構築、維持することが肝要です。

なお、取り組みの推進には、当該の重要インフラサービスを提供するために必要なサプライチェーンおよび海外拠点を含める必要があることや、サイバーセキュリティ体制が適切でなかった故に攻撃による損害が生じた場合、経営層は、組織に対して任務懈怠に基づく損害賠償責任を問われ得ることに留意してください。


* 重要インフラとは、他に代替することが著しく困難なサービスを提供する事業が形成する国民生活及び社会経済活動の基盤であり、その機能が停止、低下又は利用不可能な状態に陥った場合に、わが国の国民生活または社会経済活動に多大なる影響を及ぼすおそれが生じるもの。 重要インフラのサイバーセキュリティに係る行動計画では、「重要インフラ分野」として、「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス（地方公共団体を含む）」、「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野を挙げている。