新しい重要インフラのセキュリティ対策計画のポイントと課題

内閣官房情報セキュリティセンター(NISC)により、「重要インフラの情報セキュリティ対策に係る第3次行動計画」(以下、「第3次行動計画」と呼ぶ)が近日中に発表される予定である。サイバー攻撃を含む情報セキュリティの脅威が増している中、これまでの対策を強化する内容となっている行動計画について、改訂のポイントと課題を考えてみる。

第3次行動計画とは

第3次行動計画とは、国の重要インフラをサイバーテロ等から守るために、国として取り組むべき施策をとりまとめたものである。重要インフラとは、通信、電力、鉄道など、社会インフラとして特に重要な分野を指し、これまでは10分野を対象としていた。2005年に第1次行動計画、2009年に第2次行動計画が立案されており、今回策定された第3次行動計画は、2014年度から実施すべき内容がまとめられている。

重要インフラの情報セキュリティ対策は、それらの維持を担う事業者が実施することが基本だが、我が国を守る主体として国が担うべき責任として、各分野を所管する省庁に加えて、分野横断的に実施すべき内容について、NISCが実施することになっている。

改訂のポイントは分野の拡大とPDCAサイクル

本コラムの執筆時点では正式な第3次行動計画が公表されていないが、2014年2月に提示されたパブリックコメント案では、次の3点が改訂のポイントとして挙げられている。

  • 重要インフラ分野を現行の10分野から13分野に拡大(化学、クレジット及び石油の各分野を追加)
  • 行動計画の要点として、「経営層に期待する在り方」等を示すとともに、PDCAサイクルに基づく事業者等の対策例とこれに関連する国の施策を一覧化
  • 客観的な評価指標の提示とこれに基づく定期的な評価・改善の実施

1点目の分野の拡大については、国民の生活に密接している分野が追加されたという点で、これらを従来の10分野と同様に取り扱うことは重要である。今回追加された化学、クレジット及び石油の各分野ともに、それらの事業が一時的にでも停止した場合の影響の大きさを考えると、より積極的に取り組むべきだろう。

2点目の経営層やPDCAサイクルに関する言及は、これまでの情報セキュリティ対策に対する取り組みを改善するものである。情報セキュリティについては、コストばかりかかって効果がわかりにくいという面がある。経営者の意識を変えることで情報セキュリティ対策にコストをかける風土を醸成したり、PDCAサイクルの運用により継続的な改善が必須であることが根付くことは、非常に有効である。

3点目の評価指標と定期的な評価・改善については、策定後に固定的な運用に陥りがちな国の施策に柔軟性を持たせる意味で有意義であり、実際の運用に期待したい。

中小規模事業者への対応と制御システムセキュリティへの対応が課題

分野の拡大やPDCAサイクルへの言及と、意欲的な改訂が行われた第3次行動計画だが、内容を詳細に見ていくと、いくつか気になる点がある。

1点目は、対応が必要な事業者の範囲の拡大や、対応すべき内容の拡大である。化学、クレジット、石油の3分野が拡大したことに加えて、中小規模の重要インフラ事業者への対応も、今回の第3次行動計画では求めていくことになる。また、内容に関しても、情報セキュリティ対策のPDCAサイクルを回したり、リスクマネジメントの実施が求められている。

情報セキュリティ対策の高度化の観点からは、重要インフラ事業者が区別なく必要な対策を行うことが望ましいが、事業者の規模によって資金面や人員面での制約が多く、求められても実施が難しい可能性が高い。

事業者の規模や重要インフラの性質に従って、実施可能な計画に落とし込む工夫が必要である。たとえば、情報セキュリティ対策の到達度合いに成熟度モデルを導入して、現状からの段階的な改善を目指すことで、現実的な目標設定が可能となるだろう。

2点目は、情報セキュリティ対策として、事業者が具体的に実施すべき対策の内容である。これまでは、NISCが公開している「重要インフラにおける情報セキュリティ確保に係る「安全基準等」」(以下、「安全基準等」)がよりどころであり、第3次行動計画でもこれを継続的に改善することがうたわれている。

しかし、この安全基準等は、一般的な情報システムに対する情報セキュリティ対策が主要なターゲットとなっており、昨今注目されている制御システムに対するセキュリティ対策という面では不十分である。一般的な情報システムでは情報漏洩などの「機密性」に関する対策が優先されるが、制御システムではサービス継続などの「可用性」に関する対策が重要である。

第3次行動計画の対象である13分野のうち、特に「電力」「ガス」「水道」「化学」「石油」の5分野について、制御システムセキュリティの観点を補強する必要がある。
国際的な標準であるIEC62443などの制御システムセキュリティ規格を取り入れるなどの取り組みが必要である。システム設計における多層防御の考え方を取り入れたり、技術的な対策が困難な場合に運用でカバーする方策を取り入れるなどにより、制御システムならではの可用性確保が実現できる。

第3次行動計画では、従来の取り組みの課題や環境変化を捉えて積極的な改善を図っている点が評価できる。ただし、情報セキュリティ対策の効果のわかりにくさは従来から変わっておらず、実際のサイバー攻撃等により被害を受けた事業者の経営者でなければ、その投資対効果はアピールしにくいだろう。件数や被害の規模ともに拡大しつつあるサイバー攻撃の脅威や投資対効果を、中小規模重要インフラ事業者を含めた経営者に対して、正確に辛抱強く伝えることが大切である。

  • 情報セキュリティ政策会議のページ。
    第38回会合(平成26年1月23日)の資料中に、「資料5-1 「重要インフラの情報セキュリティ対策に係る第3次行動計画(案)」の検討状況について」および「資料5-2 重要インフラの情報セキュリティ対策に係る第3次行動計画(パブリックコメント案) 」がある。
  • NISCが公表している安全基準等については、主要公表資料中の「重要インフラにおける情報セキュリティ確保に係る「安全基準等」策定にあたっての指針(第3版) 改定版(平成25年2月22日)」および「重要インフラにおける情報セキュリティ確保に係る「安全基準等」策定にあたっての指針(第3版)対策編 改定版(平成25年3月26日)」を参照。
  • IEC62443については、IPAのプレス発表「制御システムにおけるセキュリティマネジメントシステムの構築に向けた解説書の公開」の別紙「IEC62443及びCSMS/EDSA規格の詳細」にて解説されている。