政府のサイバーセキュリティの取り組み(後編)-重要インフラ防御に関する取り組み-
はじめに
国民生活や社会経済活動に重大な影響をおよぼす可能性がある情報通信ネットワークや情報システムの重要インフラに対して、サイバーテロなどのいかなる攻撃からも守ることを目的とした重要インフラ防御の取り組みについて解説します。
1.重要インフラに関する検討の経緯
2005年9月に、情報セキュリティ政策会議は「重要インフラの情報セキュリティ対策に係る基本的考え方」を決定し、IT障害から重要インフラを防護し、重要インフラ事業者等の事業継続性を確保するために取るべき対策の基本的方向性を示しました。10月に情報セキュリティ政策会議重要インフラ専門委員会が設置され、活動を開始しました。
2005年12月に、「重要インフラの情報セキュリティ対策に係る行動計画」が決定されました。この計画では、「安全基準等の整備及び浸透」、「情報共有体制の強化」、「相互依存性解析」、「分野横断的演習」の4つの柱が掲げられ、10分野*1からなる重要インフラの分野横断的な情報セキュリティ対策の取り組みが開始されました。
- *1:情報通信、金融、航空、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流の各分野
重要インフラ事業者等においては、情報共有・分析機能であるセプター(CEPTOAR: Capability for Engineering of Protection, Technical Operation, Analysis and Response)が各分野で整備され、2009年2月にはセプター間の情報共有を行うセプターカウンシル(会議)が創設されました。
2009年2月に、「重要インフラの情報セキュリティ対策に係る第2次行動計画」が決定されました。この計画では、第1次行動計画における4つの施策に、「環境変化への対応」を加えた5つの施策が示されました。
2012年4月には、東日本大震災発生時における複数のITシステムの同時的障害発生やITシステムに対するサイバー攻撃などの環境変化を踏まえて、「重要インフラの情報セキュリティ対策に係る第2次行動計画 改定版」が決定されました。改定版では、BCP(事業継続計画)などの充実、環境変化を踏まえた安全基準の改善、情報共有体制の強化などが内容に盛り込まれました。
2014年5月には、「重要インフラの情報セキュリティ対策に係る第3次行動計画」が決定されました。第3次行動計画では、重要インフラ分野を13分野に拡大*2した上で、第2次行動計画の施策を修正・補強した「安全基準等の整備及び浸透」、「情報共有体制の強化」、「障害対応体制の強化」、「リスクマネジメント」、「防護基盤の強化」の5つの施策が示されました。
- *2:化学、クレジット、石油の各分野を追加
2015年1月にサイバーセキュリティ基本法の施行に伴い、「重要インフラ専門委員会」が「サイバーセキュリティ戦略本部重要インフラ専門調査会」になりました。
2.重要インフラの情報セキュリティ対策に係る第3次行動計画の概要
現在、重要インフラの情報セキュリティ対策に係る第3次行動計画を基に各種の施策が実施されています。それらの概要について説明します。
(1)重要インフラ事業者等の経営層の関与
第3次行動計画において、今までの行動計画と大きく異なることは、重要インフラ事業者等の経営層の在り方について言及した点です。
具体的には、
- 情報セキュリティのリスクの認識
- リスクの評価と対応の優先順位の方針策定
- システムの構築、運用に必要な計画の策定と予算・体制・人材等の経営資源の確保
- システムの運用状況の把握を通じた方針の実行状況の検証
- 演習・訓練を通じた障害対応の検証と改善の有無の検証
が挙げられています。
(2)安全対策基準の整備
重要インフラ各分野に横断的な対策の策定として、
- 「重要インフラにおける情報セキュリティ確保に係る「安全基準等」策定指針(第4版)」
- 「重要インフラにおける情報セキュリティ確保に係る「安全基準等」策定指針(第4版)対策編」
を策定しました。さらに、重要インフラ事業者等がどの対策から行うかなどの考え方を示す「指針対策編の実現に向けた手引書」を初めて作成し、公表しました。
重要インフラ事業者等は、各分野における安全基準の作成、改訂、整備を行い、普及促進をしていくことになります。
(3)情報共有体制の強化
情報セキュリティ対策は一義的には重要インフラ事業者等が実施するものですが、単独で取り組む情報セキュリティ対策では、多様な脅威への対応が不十分であることが想定されます。このため、分野内、分野間、官民間で情報を共有し、必要な情報セキュリティ対策に取り組むことが重要であり、その体制を構築しています。
内閣サイバーセキュリティセンター、重要インフラ分野の事業者、重要インフラ主管省庁、情報セキュリティ関係省庁及び関係機関、サイバー空間関連事業者などで情報共有体制を構築しています。
図1 重要インフラの情報共有体制
ここで、重要インフラ事業者等において整備されているセプターの概要を示します。
2015年3月末現在
図2 セプターの概要(出典:http://www.nisc.go.jp/conference/cs/ciip/dai01/pdf/01shiryou07.pdf )
(4)障害対応体制の強化
IT障害対応体制の構築、IT障害対応に関する官民が連携した各種演習・訓練を行うことで、重要インフラ全体の防護能力の維持・向上を図ります。この演習は毎年実施され、参加する重要インフラ分野が拡大され、参加する事業者が増加しています。また、セプター独自に訓練などを実施しています。
(5)その他
重要インフラ事業者等のリスク評価を含むマネジメントの支援、国際連携、参照すべき規程類の整備などについて記載されています。
3.まとめ
サイバーセキュリティ基本法が施行され、重要インフラ防御がますます重要な課題となってきます。
- 第3次行動計画の実施において、重要インフラ事業者等の経営層の関与に言及しており 経営層への認知度、関与の度合いなどの継続的な確認が求められます。
- 安全対策基準等に関しては重要インフラ事業者等の確実な対応と実施が求められます。また、今回作成された「指針対策編の実現に向けた手引書」の更なる充実が期待されます。
- ボーダーレスのサイバー空間であり、日本のみの対応では防御できない面が多々あります。さらなる国際連携に向けた取り組みが望まれます。
次期の行動計画である第4次行動計画は、東京オリンピックに向けたセキュリティの確保が重要な課題であると考えられます。官民連携による強固なセキュリティ対策に向けた行動計画の策定が望まれます。
Writer Profile
セキュリティ事業部
セキュリティコンサルティング担当 エグゼクティブコンサルタント
サイバーセキュリティ戦略本部重要インフラ専門調査会 委員
松田 栄之
Tweet