English
National center of Incident readiness and Strategy for Cybersecurity内閣サイバーセキュリティセンター

(首相官邸Webサイトの検索システムを利用しています)

HOME > 活動内容 > 重要インフラグループ > 重要インフラの情報セキュリティ対策に係る第4次行動計画

活動内容


 重要インフラグループは、我が国の国民生活と社会経済活動が大きく依存する重要インフラの情報セキュリティ対策を推進するため、「サイバーセキュリティ戦略」PDF及び「重要インフラの情報セキュリティ対策に係る第4次行動計画」(第4次行動計画)PDFに基づき、次に示す5つの施策を進めています。

 1.安全基準等の整備及び浸透
重要インフラ防護において分野横断的に必要な対策の指針及び各分野の安全基準等の継続的改善の推進
 2.情報共有体制の強化
連絡形態の多様化や共有情報の明確化等による官民・分野横断的な情報共有体制の強化
 3.障害対応体制の強化
官民が連携して行う演習等の実施、演習・訓練間の連携による重要インフラサービス障害対応体制の総合的な強化
 4.リスクマネジメント
リスク評価やコンティンジェンシープラン策定等の対処態勢の整備を含む包括的なマネジメントの推進
 5.防護基盤の強化
重要インフラに係る防護範囲の見直し、広報広聴活動、国際連携の推進、経営層への働きかけ、人材育成等の推進

 その第4次行動計画において記載されている、重要インフラの定義、重要インフラ防護に関する施策について、以下に紹介します。


重要インフラとは

 「重要インフラ」とは、他に代替することが著しく困難なサービスを提供する事業が形成する国民生活及び社会経済活動の基盤であり、その機能が停止、低下又は利用不可能な状態に陥った場合に、わが国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるものをいいます。
 第4次行動計画では、「重要インフラ分野」として、「情報通信」、「金融」、「航空」、「鉄道」、「電力」、「ガス」、「政府・行政サービス(地方公共団体を含む)」、「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の13分野を特定しています。

 また、第4次行動計画において、それぞれの用語の定義は次のとおりです(第4次行動計画の別紙5にも記載)

重要インフラ事業者等
重要インフラ分野に属する事業者等及び当該事業者等から構成される団体(第4次行動計画の別紙1)
重要インフラサービス
重要インフラ事業者等が提供するサービス及びそのサービスを利用するために必要な一連の手続きのうち、国民生活や社会経済活動に与える影響の度合いを考慮して、特に防護すべきとして重要インフラ分野ごとに定めるもの(第4次行動計画の別紙2)
重要システム
重要インフラサービスを提供するために必要な情報システムのうち、重要インフラサービスに与える影響の度合いを考慮して、重要インフラ事業者等ごとに定めるもの(第4次行動計画の別紙1)
重要インフラ所管省庁
金融庁(金融)、総務省(情報通信、地方公共団体)、厚生労働省(医療、水道)、経済産業省(電力、ガス、化学、クレジット、石油)及び国土交通省(航空、鉄道、物流)

「重要インフラ防護」の目的と基本的考え方

 重要インフラ防護の目的は、重要インフラにおいて、機能保証の考え方を踏まえ、自然災害やサイバー攻撃等に起因する重要インフラサービス障害の発生を可能な限り減らすとともに、その発生時には迅速な復旧を図ることにより、国民生活や社会経済活動に重大な影響を及ぼすことなく、重要インフラサービスの安全かつ持続的な提供を実現することです。

 重要インフラ防護の基本的考え方として、重要インフラ事業者等における情報セキュリティ対策は、一義的には当該重要インフラ事業者等が自らの責任において実施するものです。ただし、重要インフラ全体の機能保証の観点からは、各関係主体が連携して重要インフラ防護の目的を果たすために努力を払うことが必要です。このため、重要インフラ防護における関係主体が一丸となった取組を通じて、重要インフラ防護の目的を果たすとともに、あわせて国民の安心感の醸成、社会の成長、強靭化及び国際競争力の強化を目指します。具体的な内容は次のとおりです。

  • 重要インフラ事業者等は事業主体として、また社会的責任を負う立場として、それぞれに対策を講じ、また継続的な改善に取り組む。
  • 政府機関は、重要インフラ事業者等の情報セキュリティ対策に対して必要な支援を行う。
  • 取組に当たっては、個々の重要インフラ事業者等が単独で取り組む情報セキュリティ対策のみでは多様な脅威への対応に限界があることから、他の関係主体との連携をも充実させる。

経営層を含めた関係主体の在り方

 重要インフラ事業者等、政府機関、情報セキュリティ関係機関などの関係主体の在り方を以下に示します。

  • 自らの状況を正しく認識し、活動目標を主体的に策定するとともに、各々必要な取組の中で定期的に自らの対策・施策の進捗状況を確認する。また、他の関係主体の活動状況の把握に努め、相互に自主的に協力する。
  • 重要インフラサービス障害の規模に応じて、情報に基づく対応の5W1Hを理解しており、重要インフラサービス障害の予兆及び発生に対し冷静に対処ができる。多様な関係主体間でのコミュニケーションが充実し、自主的な対応に加え、他の関係主体との連携や統制の取れた対応ができる。

 重要インフラ事業者等の経営層は、上記の在り方に加え、以下の項目の必要性を認識し、実施できていることが求められます。

  • 情報セキュリティの確保は経営層が果たすべき責任であり、経営者自らがリーダーシップを発揮し、機能保証の観点から情報セキュリティ対策に取り組むこと。
  • 自社の取組が社会全体の発展にも寄与することを認識し、サプライチェーン(ビジネスパートナーや子会社、関連会社)を含めた情報セキュリティ対策に取り組むこと。
  • 情報セキュリティに関してステークホルダーの信頼・安心感を醸成する観点から、平時における情報セキュリティ対策に対する姿勢やインシデント発生時の対応に関する情報の開示等に取り組むこと。
  • 上記の各取組に必要な予算・体制・人材等の経営資源を継続的に確保し、リスクベースの考え方により適切に配分すること。

HOME
報道発表資料等
内閣サイバーセキュリティ センター(NISC)とは
活動内容
基本戦略グループ
国際戦略グループ
政府機関総合対策グループ
情報統括グループ
重要インフラグループ
事案対処分析グループ
会議
調査研究
主要公表資料
広報活動
関連サイト
関連法令等
リンクと著作権について
(C) 2015 National center of Incident readiness and Strategy for Cybersecurity サイトマップ ご意見・ご感想はこちらまで