グループの業務概要

重要インフラ事業者

サイバーセキュリティ基本法第3条第1項に規定する重要社会基盤事業者をいう。 国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合に国民生活又は経済活動に多大な影響を及ぼすおそれが生ずるものに関する事業を行う者。 具体的には、行動計画の別紙１「対象となる重要インフラ事業者等と重要システム例」の「対象となる重要インフラ事業者等」欄において指定するもの（地方公共団体を除く）

重要インフラ事業者等

サイバーセキュリティ基本法第12条第2項第3号に規定する重要社会基盤事業者等をいう。 重要インフラ事業者及びその組織する団体並びに地方公共団体（行動計画の別紙１）

重要インフラサービス

重要インフラ事業者等が提供するサービス及びそのサービスを利用するために必要な一連の手続きのうち、国民生活や社会経済活動に与える影響の度合いを考慮して、特に防護すべきとして重要インフラ分野ごとに定めるもの（行動計画の別紙２）

重要システム

重要インフラサービスを提供するために必要な情報システムのうち、重要インフラサービスに与える影響の度合いを考慮して、重要インフラ事業者等ごとに定めるもの（行動計画の別紙１）

重要インフラ所管省庁

金融庁（金融）、総務省（情報通信、地方公共団体）、厚生労働省（医療、水道）、経済産業省 （電力、ガス、化学、クレジット、石油）及び国土交通省（航空、空港、鉄道、物流、港湾）

重要インフラ防護の目的

重要インフラにおいて、任務保証の考え方を踏まえ、重要インフラサービスの継続的提供を不確かなものとする自然災害、管理不良、サイバー攻撃や、重要インフラを取り巻く環境変化等をリスクとして捉え、リスクを許容範囲内に抑制すること、及び重要インフラサービス障害に備えた体制を整備し、障害発生時に適切な対応を行い、迅速な復旧を図ることの両面から、強靱性を確保し、国民生活や社会経済活動に重大な影響を及ぼすことなく、重要インフラサービスの安全かつ持続的な提供を実現することです。

関係主体の責務

• 関係主体の責務は、サイバーセキュリティ基本法を基本とする。
• 国は、サイバーセキュリティに関する総合的な施策を策定し、及び実施する。
• 地方公共団体は、サイバーセキュリティに関する自主的な施策を策定し、及び実施する。
• 重要インフラ事業者は、サービスを安定的かつ適切に提供するため、サイバーセキュリティの重要性に関する関心と理解を深め、自主的かつ積極的にサイバーセキュリティの確保に努める。
• サイバー関連事業者その他の事業者は、その事業活動に関し、自主的かつ積極的にサイバーセキュリティの確保に努める。

基本的な考え方

• 重要インフラを取り巻く情勢は、システム利用の高度化、複雑化、サイバー空間の脅威の急速な高まりを受け、重要インフラ事業者等においては、経営層、CISO、戦略マネジメント層、システム担当者を含めた組織全体での対応を一層促進する。特に、経営の重要事項としてサイバーセキュリティを取り込む方向で推進する。
• 自組織の特性を明確化し、経営層からシステム担当者までの各階層の視点を有機的に組み合わせたリスクマネジメントを活用し、自組織に最も適した防護対策を実施する。
• 重要インフラを取り巻く脅威の変化に適確に対応するため、サプライチェーン等を含め、将来の環境変化を先取りした包括的な対応を実施する。

障害対応体制の強化に向けた取組

• リスクマネジメントによる事前対応と危機管理の組合せにより、障害対応体制を強化する。
• 組織におけるサイバーセキュリティに対する経営者と専門組織の関係を経営の重要事項としてサイバーセキュリティを取り込む。
• サイバーセキュリティの確保には、サイバーセキュリティ基本法第2条の定義を踏まえ、外部からの攻撃のみならず、システム調達、設計及び運用に関係する事象を含め対応できるよう障害対応体制を整備・運用する。