重要インフラ対策関連
詳細
概要
我が国の国民生活と社会経済活動に大きく依存する重要インフラのサイバーセキュリティの確保のため、以下の文書に基づき施策を進めています。
参考資料
重要インフラとは
重要インフラとは、他に代替することが著しく困難なサービスを提供する事業が形成する国民 生活及び社会経済活動の基盤であり、その機能が停止、低下又は利用不可能な状態に陥った場合に、 わが国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるものをいいます。 重要インフラのサイバーセキュリティに係る行動計画(以下「行動計画」という。)では、「重要インフラ分野」として、「情報通信」、「金融」、「航空」、 「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス(地方公共団体を含む)」、 「医療」、「水道」、「物流」、「化学」、「クレジット」、「石油」及び「港湾」の15分野を特定しています。 また、行動計画において、それぞれの用語の定義は次のとおりです。(行動計画の別紙5にも記載)
重要インフラ事業者
サイバーセキュリティ基本法第3条第1項に規定する重要社会基盤事業者をいう。 国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合に国民生活又は経済活動に多大な影響を及ぼすおそれが生ずるものに関する事業を行う者。 具体的には、行動計画の別紙1「対象となる重要インフラ事業者等と重要システム例」の「対象となる重要インフラ事業者等」欄において指定するもの(地方公共団体を除く)
重要インフラ事業者等
サイバーセキュリティ基本法第12条第2項第3号に規定する重要社会基盤事業者等をいう。 重要インフラ事業者及びその組織する団体並びに地方公共団体(行動計画の別紙1)
重要インフラサービス
重要インフラ事業者等が提供するサービス及びそのサービスを利用するために必要な一連の手続きのうち、国民生活や社会経済活動に与える影響の度合いを考慮して、特に防護すべきとして重要インフラ分野ごとに定めるもの(行動計画の別紙2)
重要システム
重要インフラサービスを提供するために必要な情報システムのうち、重要インフラサービスに与える影響の度合いを考慮して、重要インフラ事業者等ごとに定めるもの(行動計画の別紙1)
重要インフラ所管省庁
金融庁(金融)、総務省(情報通信、地方公共団体)、厚生労働省(医療)、経済産業省 (電力、ガス、化学、クレジット、石油)及び国土交通省(航空、空港、鉄道、水道、物流、港湾)
「重要インフラ防護」の目的と基本的考え方
重要インフラ防護の目的
重要インフラにおいて、任務保証の考え方を踏まえ、重要インフラサービスの継続的提供を不確かなものとする自然災害、管理不良、サイバー攻撃や、重要インフラを取り巻く環境変化等をリスクとして捉え、リスクを許容範囲内に抑制すること、及び重要インフラサービス障害に備えた体制を整備し、障害発生時に適切な対応を行い、迅速な復旧を図ることの両面から、強靱性を確保し、国民生活や社会経済活動に重大な影響を及ぼすことなく、重要インフラサービスの安全かつ持続的な提供を実現することです。
関係主体の責務
- 関係主体の責務は、サイバーセキュリティ基本法を基本とする。
- 国は、サイバーセキュリティに関する総合的な施策を策定し、及び実施する。
- 地方公共団体は、サイバーセキュリティに関する自主的な施策を策定し、及び実施する。
- 重要インフラ事業者は、サービスを安定的かつ適切に提供するため、サイバーセキュリティの重要性に関する関心と理解を深め、自主的かつ積極的にサイバーセキュリティの確保に努める。
- サイバー関連事業者その他の事業者は、その事業活動に関し、自主的かつ積極的にサイバーセキュリティの確保に努める。
基本的な考え方
- 重要インフラを取り巻く情勢は、システム利用の高度化、複雑化、サイバー空間の脅威の急速な高まりを受け、重要インフラ事業者等においては、経営層、CISO、戦略マネジメント層、システム担当者を含めた組織全体での対応を一層促進する。特に、経営の重要事項としてサイバーセキュリティを取り込む方向で推進する。
- 自組織の特性を明確化し、経営層からシステム担当者までの各階層の視点を有機的に組み合わせたリスクマネジメントを活用し、自組織に最も適した防護対策を実施する。
- 重要インフラを取り巻く脅威の変化に適確に対応するため、サプライチェーン等を含め、将来の環境変化を先取りした包括的な対応を実施する。
詳細
1.障害対応体制の強化
組織統治の一部としての障害対応体制
重要インフラサービス提供の支障事案の原因は、自然災害、管理不良、サイバー攻撃等であり、多くは、適切な組織管理がなされれば防げたものが多いことから、組織全体の体制管理を適切に行う必要があります。このため、経営層、CISO、戦略マネジメント層、システム担当等、組織全体での取組となるよう、組織統治の一部としてサイバーセキュリティを組み入れるための取組を推進します。
障害対応体制の強化に向けた取組
サプライチェーン・リスク等の新たな脅威を先取りした対応を推進し、組織の壁を越えたサプライチェーン全体でセキュリティを向上するための方策を講じます。
また、サービス障害に係るリスクは分野や事業者によって異なるといった課題がありますが、組織ごとにリスクを把握し、自組織に最適な防護対策を実施するために、重要インフラ事業者等の自組織のリスクに応じた最適な防護対策を推進します。
重要インフラに係る防護範囲の見直し
社会環境の変化に柔軟に対応しながら、重要インフラサービスを安全かつ持続的に提供するための「面としての防護」を実現するため、防護範囲見直しの取組を継続します。
2.安全基準等の整備及び浸透
安全基準等策定指針の継続的改善
「重要インフラのサイバーセキュリティに係る安全基準等策定指針」は、重要インフラ事業者等が任務保証の考え方を踏まえ、重要インフラサービスを安全かつ持続的に提供することに資するべく、各重要インフラ分野に共通して求められるサイバーセキュリティの確保に向けた取組を整理したものです。
「重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書」は、重要インフラ事業者等におけるリスクマネジメントの理解を深め、その精度や水準の向上に寄与するとともに、サイバーセキュリティ部門(戦略マネジメント層、担当者層)向けに、安全基準等策定指針で示すセキュリティ確保に向けた取組についての参考情報を記載したものです。
安全基準等の継続的改善
重要インフラ事業者等及び重要インフラ所管省庁は、重要インフラ全体の防護能力の維持・向上を目的とし、各重要インフラ事業者等の対策の経験から得た知見等をもとに、継続的に安全基準等*を改善しています。具体的には、サイバーセキュリティの確保に向けた取組の運用、内部監査・外部監査、サイバーセキュリティに係る環境変化の調査・分析の結果、演習・訓練、重要インフラサービス障害対応等から課題を抽出し、リスク評価を経て、安全基準等の継続的な改善に取り組んでいます。安全基準等の検証に際しては、安全基準等策定指針及び内閣官房が公表した社会動向の変化・新たな知見を用いています。
*業法に基づき国が定める「強制基準」、業法に準じて国が定める「推奨基準」及び「ガイドライン」、業法や国民からの期待に応えるべく業界団体等が定める業界横断的な「業界標準」及び「ガイドライン」、業法や国民・利用者等からの期待に応えるべく重要インフラ事業者等が自ら定める「内規」等の総称をいいます。
安全基準等の浸透
重要インフラ事業者等において有効な障害対応体制の構築がなされているかを精緻に把握することを目的に、重要インフラ事業者等における安全基準等の整備状況及びサイバーセキュリティ確保に向けた取組・手段について調査分析しています。
3.情報共有体制の強化
情報共有体制の強化
重要インフラを取り巻く社会環境・技術環境やサイバーセキュリティの動向が刻々と変化する中、重要インフラ事業者等が高いセキュリティ水準を保ち続けるには、単独で取り組むセキュリティ対策のみでは限界があり、官民・分野横断的な情報共有に取り組むことが必要です。重要インフラグループは、「重要インフラのサイバーセキュリティに係る行動計画」(行動計画)に基づき官民の情報共有体制を構築し、重要インフラ事業者等のサイバーセキュリティの確保に資する情報の共有を推進しています。
行動計画に基づく情報共有について
行動計画に基づき、システムの不具合等に関する情報(重要インフラサービス障害を含むシステムの不具合や予兆・ヒヤリハットに関する情報)やサイバーセキュリティの確保に資する情報の共有を行っています。
情報共有は、重要インフラ事業者等におけるシステムの不具合等に関する情報を重要インフラ事業者等からNISCに連絡する「情報連絡」と、サイバーセキュリティの確保に資するための情報をNISCから重要インフラ事業者等へ提供する「情報提供」からなります。
NISCは、情報共有の具体的内容、手続等を明示した情報共有の手引書を策定し、重要インフラ事業者等が行動計画に基づく情報共有を円滑に行えるようにするなど、情報共有体制の改善に向けた取組を進めています。
セプターについて
セプター(CEPTOAR)は、重要インフラ事業者等の情報共有・分析機能及び当該機能を担う組織であり、Capability for Engineering of Protection, Technical Operation, Analysis and Responseの略称です。
セプターの主要な活動の一つは、重要インフラサービス障害の未然防止、発生時の被害拡大防止・迅速な復旧および再発防止のため、NISC等から提供される情報について、適切に重要インフラ事業者等に提供し、関係者間で情報を共有することです。これによって、各重要インフラ事業者等のサービスの維持・復旧能力の向上に資する活動を目指します。
令和6(2024)年9月末現在、各重要インフラ分野の業界団体等が事務局となって、全15分野で、計21のセプターが活動しています。
【関連資料】
セプターカウンシルについて
セプターカウンシルは、各重要インフラ分野で整備されたセプターの代表で構成される協議会です。分野横断的な情報共有の推進を目的として、平成21(2009)年2月に設立されました。
重要インフラの重要インフラサービス障害の未然防止等のため、重要インフラ事業者等に密接に関連する情報を提供するための体制の調整及び管理に取り組むとともに、具体的な情報共有プロジェクトとして、Webサイト応答時間計測システム(HPレスポンス観測活動)やC4TAP(セプターカウンシルにおける標的型攻撃に関する情報共有体制)を運用し、情報共有を推進しています。
なお、セプターカウンシルは、政府機関を含め他の機関の下位に位置付けられるものではなく独立した会議体であって、各セプターの主体的な判断によって、セプター間での情報共有等を行っています。NISCはセプターと連携しつつ、セプターカウンシルの運営及び活動に対する支援を実施しています。
4.リスクマネジメントの活用
リスクマネジメントは、重要インフラ防護の目的である重要インフラサービスの継続的提供を不確かにするリスクに対して組織的に対応するために必要な活動です。
また、昨今の環境変化、技術革新等、重要インフラサービス障害に係るリスクが動的に変化してきている状況において、リスクに的確に対処し、許容できる範囲に抑えるようにするためには、経営層の関与が不可欠です。これに対して、組織に適した最適な防護対策を継続的に改善するためのガイダンス等を作成することで、これを支援します。
リスクマネジメントの推進
重要インフラ事業者等がリスクマネジメントに的確に取り組むためには、まず自組織の特性(プロファイル)を把握し、さらに自組織に適した防護対策については、計画、実施、評価・改善を繰り返し、継続的な取組(プロセス)を推進することが求められます。重要インフラ事業者等におけるリスクマネジメントの推進を図るため、組織に適した防護対策の具現化を支援します。
環境変化におけるリスク把握
サイバー空間において提供される多様なサービスは、サプライチェーンの複雑化等に伴い、関係主体間での「相互連関・連鎖性」が一層深化していくことが想定されます。コロナ禍等により不連続な形で起こる変化は、予期しない形でリスクを顕在化させるおそれがあり、社会全体としての対処の最適化を目指すために環境変化に対するリスクの把握を図る必要があることから、環境変化に対するリスクの把握及び「相互連関・連鎖性」の把握に関する調査を実施し、その結果は重要インフラ事業者等に提供するとともに本行動計画の改善に活用します。
【関連資料】
過去の資料は、こちらをクリック
5.防護基盤の強化
障害対応体制の有効性検証
重要インフラサービスの継続的提供の強靭性の確保を目指すべく、障害対応体制に対してその有効性の検証を行う必要があり、重要インフラ事業者等は、検証目的に応じて、日々の運用、障害対応、診断、テスト、内部・外部監査、演習・訓練等を通じた課題抽出及び改善の取組が求められます。
重要インフラサービスの継続的提供の強靭性の確保を念頭に、分野横断的演習を実施します。分野横断的演習は、内閣官房と重要インフラ所管省庁等が連携して実施し、重要インフラ事業者等に対して組織全体の障害対応体制の有効性を継続的に検証・改善する機会として提供します。
【関連資料】
「重要インフラの情報セキュリティ対策:「分野横断的演習」~障害対応体制の強化に向けて~」説明ビデオを掲載しました。
人材育成等の推進
関係主体において、サイバーセキュリティ戦略(令和3年9月28日閣議決定)等に基づく取組を推進します。具体的には、戦略マネジメント層の育成、部門間連携(ITの管理部門、OTの管理部門、法務部門、広報部門等の間の連携)の推進、及び産官学の連携の推進に取り組みます。
【関連資料】
国際連携の推進
重要インフラ所管省庁及びサイバーセキュリティ関係機関と連携して、各国政府等との協力・連携を強化し、知見の共有や能力構築支援等を推進しています。これによって海外から得られた我が国における重要インフラ防護能力の強化に資する情報について、関係主体への積極的な提供を図ります。