事業者自らPDCAを回していく時代へ


国を挙げて重要インフラをサイバー攻撃から防御する施策は2000年の「重要インフラのサイバーテロ対策に係る特別行動計画」の策定から始まる。以来3年〜5年おきに見直しを行い、直近では昨年2017年4月に2020東京オリンピック・パラリンピック競技大会も見据えた「重要インフラの情報セキュリティ対策に係る第4次行動計画」を策定した。

新たな行動計画では初めて「機能保証の考え方」を導入した。「これまでの、単にサイバー攻撃からITシステムを守る、という視点から、各インフラが提供するサービスを安全かつ持続的に提供(機能保証)するために制御システムを含めITシステムを守る、という視点に転換した。」と宮崎氏。これはオリンピック・パラリンピック競技大会で求められるサイバーセキュリティの視点にも応用できる。

また、新たな行動計画にあわせて「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版)」を今年4月4日に公表。今回は、この機能保証を実現するため、関連文書「重要インフラにおける機能保証の考え方に基づくリスクアセスメント手引書」を添えることで、絶えず変化する社内環境や攻撃者の手口に応じた定期的なリスク評価ができる具体的枠組みを提示。重要インフラ事業者等が自律的に情報セキュリティ対策に取り組める環境を整えた。

「安全基準等策定指針」と「リスクアセスメント手引書」を活用した重要インフラ各分野へのセキュリティ対策浸透のイメージ。各事業者が独自にPDCAを回す体制づくりをめざす(資料提供:NISC)

すでに、情報セキュリティ対策の指針には、「情報セキュリティマネジメントシステム」の国際標準ISO27000シリーズや、NIST(アメリカ国立標準技術研究所)の「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」、国際電気標準会議(ICE)「CSMS認証基準」など、重要インフラ分野関連の情報セキュリティの標準が示されており、それらの基準を活用して取組を進めている事業者もいる。今回の指針第5版はこれら主要な標準も考慮した構成になっている。「新たな指針・手引書により、自らPDCAを回していく時代にようやく入った」と宮崎氏はいう。

サイバー攻撃による重要インフラ障害を未然に防ぎ、また被害を最小限にとどめるには、実務者同士が事故事例や対策を緊密に情報共有し、同じ手口を繰り返す攻撃を一掃することが最善策となる。すでに問題意識の高い情報通信・金融・電力の3つの業界では、民間主導でサイバーセキュリティの事業者間連絡組織「ISAC」を結成し、積極的に情報共有をしてきた。一方、政府では、業界間や業界横断で情報共有を促そうと2009年に「セプターカウンシル」という組織体制を創設した。

重要インフラ分野の情報共有を促すセプターカウンシルの組織図(資料提供:NISC)

セプター(CEPTOAR)とは「Capability for Engineering of Protection, Technical Operation, Analysis and Response」の略。2018年5月時点で13分野18セプターがあり、セプターカウンシルの運営委員会が年4回開催され、18セプターの会員が情報共有を行う。また、年1回はセプターカウンシルの総会として、18のセプターの代表が一同に会して情報共有を行う。