重要インフラグループ

主な施策

１．障害対応体制の強化

組織統治の一部としての障害対応体制

重要インフラサービス提供の支障事案の原因は、自然災害、管理不良、サイバー攻撃等であり、多くは、適切な組織管理がなされれば防げたものが多いことから、組織全体の体制管理を適切に行う必要があります。このため、経営層、CISO、戦略マネジメント層、システム担当等、組織全体での取組となるよう、組織統治の一部としてサイバーセキュリティを組み入れるための取組を推進します。

障害対応体制の強化に向けた取組

サプライチェーン・リスク等の新たな脅威を先取りした対応を推進し、組織の壁を越えたサプライチェーン全体でセキュリティを向上するための方策を講じます。

また、サービス障害に係るリスクは分野や事業者によって異なるといった課題がありますが、組織ごとにリスクを把握し、自組織に最適な防護対策を実施するために、重要インフラ事業者等の自組織のリスクに応じた最適な防護対策を推進します。

重要インフラに係る防護範囲の見直し

社会環境の変化に柔軟に対応しながら、重要インフラサービスを安全かつ持続的に提供するための「面としての防護」を実現するため、防護範囲見直しの取組を継続します。

２．安全基準等の整備及び浸透

安全基準等策定指針の継続的改善

「重要インフラのサイバーセキュリティに係る安全基準等策定指針」は、重要インフラ事業者等が任務保証の考え方を踏まえ、重要インフラサービスを安全かつ持続的に提供することに資するべく、各重要インフラ分野に共通して求められるサイバーセキュリティの確保に向けた取組を整理したものです。

「重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書」は、重要インフラ事業者等におけるリスクマネジメントの理解を深め、その精度や水準の向上に寄与するとともに、サイバーセキュリティ部門（戦略マネジメント層、担当者層）向けに、安全基準等策定指針で示すセキュリティ確保に向けた取組についての参考情報を記載したものです。

【関連資料】

重要インフラのサイバーセキュリティに係る安全基準等策定指針

重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書

【その他資料】

クラウドを利用したシステム運用に関するガイダンス

※こちらの資料よりも古い資料は、こちらをクリック

安全基準等の継続的改善

重要インフラ事業者等及び重要インフラ所管省庁は、重要インフラ全体の防護能力の維持・向上を目的とし、各重要インフラ事業者等の対策の経験から得た知見等をもとに、継続的に安全基準等＊を改善しています。具体的には、サイバーセキュリティの確保に向けた取組の運用、内部監査・外部監査、サイバーセキュリティに係る環境変化の調査・分析の結果、演習・訓練、重要インフラサービス障害対応等から課題を抽出し、リスク評価を経て、安全基準等の継続的な改善に取り組んでいます。安全基準等の検証に際しては、安全基準等策定指針及び内閣官房が公表した社会動向の変化・新たな知見を用いています。

*業法に基づき国が定める「強制基準」、業法に準じて国が定める「推奨基準」及び「ガイドライン」、業法や国民からの期待に応えるべく業界団体等が定める業界横断的な「業界標準」及び「ガイドライン」、業法や国民・利用者等からの期待に応えるべく重要インフラ事業者等が自ら定める「内規」等の総称をいいます。

【関連資料】

重要インフラにおける安全基準等の継続的改善状況等の調査について（2021年度）

安全基準等の浸透

重要インフラ事業者等において有効な障害対応体制の構築がなされているかを精緻に把握することを目的に、重要インフラ事業者等における安全基準等の整備状況及びサイバーセキュリティ確保に向けた取組・手段について調査分析しています。

【関連資料】

重要インフラにおける安全基準等の浸透状況等に関する調査について（2021年度）

３．情報共有体制の強化

情報共有体制の強化

重要インフラを取り巻く社会環境・技術環境やサイバーセキュリティの動向が刻々と変化する中、重要インフラ事業者等が高いセキュリティ水準を保ち続けるには、単独で取り組むセキュリティ対策のみでは限界があり、官民・分野横断的な情報共有に取り組むことが必要です。重要インフラグループは、「重要インフラのサイバーセキュリティに係る行動計画」（行動計画）に基づき官民の情報共有体制を構築し、重要インフラ事業者等のサイバーセキュリティの確保に資する情報の共有を推進しています。

行動計画に基づく情報共有について

行動計画に基づき、システムの不具合等に関する情報（重要インフラサービス障害を含むシステムの不具合や予兆・ヒヤリハットに関する情報）やサイバーセキュリティの確保に資する情報の共有を行っています。

情報共有は、重要インフラ事業者等におけるシステムの不具合等に関する情報を重要インフラ事業者等からNISCに連絡する「情報連絡」と、サイバーセキュリティの確保に資するための情報をNISCから重要インフラ事業者等へ提供する「情報提供」からなります。

NISCは、情報共有の具体的内容、手続等を明示した情報共有の手引書を策定し、重要インフラ事業者等が行動計画に基づく情報共有を円滑に行えるようにするなど、情報共有体制の改善に向けた取組を進めています。

【関連資料】

情報共有の手引書

情報連絡様式

情報連絡様式記載例

セプターについて

セプター（CEPTOAR）は、重要インフラ事業者等の情報共有・分析機能及び当該機能を担う組織であり、Capability for Engineering of Protection, Technical Operation, Analysis and Responseの略称です。

セプターの主要な活動の一つは、重要インフラサービス障害の未然防止、発生時の被害拡大防止・迅速な復旧および再発防止のため、NISC等から提供される情報について、適切に重要インフラ事業者等に提供し、関係者間で情報を共有することです。これによって、各重要インフラ事業者等のサービスの維持・復旧能力の向上に資する活動を目指します。

令和５（2023）年９月末現在、各重要インフラ分野の業界団体等が事務局となって、全14分野で、計20のセプターが活動しています。

【関連資料】

重要インフラ　セプター一覧表

※令和５（2023）年10月30日更新

セプターカウンシルについて

セプターカウンシルは、各重要インフラ分野で整備されたセプターの代表で構成される協議会です。分野横断的な情報共有の推進を目的として、平成21（2009）年２月に設立されました。

重要インフラの重要インフラサービス障害の未然防止等のため、重要インフラ事業者等に密接に関連する情報を提供するための体制の調整及び管理に取り組むとともに、具体的な情報共有プロジェクトとして、Webサイト応答時間計測システム（HPレスポンス観測活動）やC4TAP（セプターカウンシルにおける標的型攻撃に関する情報共有体制）を運用し、情報共有を推進しています。

なお、セプターカウンシルは、政府機関を含め他の機関の下位に位置付けられるものではなく独立した会議体であって、各セプターの主体的な判断によって、セプター間での情報共有等を行っています。NISCはセプターと連携しつつ、セプターカウンシルの運営及び活動に対する支援を実施しています。

【関連資料】

セプターカウンシル総会資料（セプターカウンシルの概要）

第15回総会（2023年４月21日）

※こちらの資料よりも古い資料は、こちらをクリック

セプターカウンシルの創設について（第21回情報セキュリティ政策会議報告資料）

セプターカウンシルにおける情報共有

Webサイト応答時間計測システム

標的型攻撃に関する情報共有体制（C4TAP）

４．リスクマネジメントの活用

リスクマネジメントは、重要インフラ防護の目的である重要インフラサービスの継続的提供を不確かにするリスクに対して組織的に対応するために必要な活動です。

また、昨今の環境変化、技術革新等、重要インフラサービス障害に係るリスクが動的に変化してきている状況において、リスクに的確に対処し、許容できる範囲に抑えるようにするためには、経営層の関与が不可欠です。これに対して、組織に適した最適な防護対策を継続的に改善するためのガイダンス等を作成することで、これを支援します。

リスクマネジメントの推進

重要インフラ事業者等がリスクマネジメントに的確に取り組むためには、まず自組織の特性（プロファイル）を把握し、さらに自組織に適した防護対策については、計画、実施、評価・改善を繰り返し、継続的な取組（プロセス）を推進することが求められます。重要インフラ事業者等におけるリスクマネジメントの推進を図るため、組織に適した防護対策の具現化を支援します。

環境変化におけるリスク把握

サイバー空間において提供される多様なサービスは、サプライチェーンの複雑化等に伴い、関係主体間での「相互連関・連鎖性」が一層深化していくことが想定されます。コロナ禍等により不連続な形で起こる変化は、予期しない形でリスクを顕在化させるおそれがあり、社会全体としての対処の最適化を目指すために環境変化に対するリスクの把握を図る必要があることから、環境変化に対するリスクの把握及び「相互連関・連鎖性」の把握に関する調査を実施し、その結果は重要インフラ事業者等に提供するとともに本行動計画の改善に活用します。