- 2019/04/05
- セキュリティ
重要インフラのセキュリティ対策を知るにはまずこれを読むべし!
Post by : Yukimi Sohta
2020年に向けてますます重要性が増す「重要インフラのセキュリティ対策」
2020年に東京で開催が予定されている国際的なスポーツイベントまで、いよいよあと残り500日を切りました。各所で慌ただしく準備が進められる中、情報セキュリティの世界においてもさまざまな動きが始まっています。
国際的な大規模イベントを標的にしたサイバー攻撃には、世界的に高い注目が集まります。そのため来年のイベントでも、海外から日本国内に対して多くのサイバー攻撃が仕掛けられることが予想されています。その中には、より高い注目を集めるために、電力や交通機関、政府機関といった重要インフラにターゲットを絞ったサイバー攻撃や標的型攻撃も含まれるだろうといわれています。
このスポーツイベントに限らず、近年では重要インフラを狙ったサイバー攻撃の脅威がかなり身近なものになってきました。既に海外では、サイバー攻撃によって大規模停電が発生したり、公共交通機関が麻痺したりといった被害が発生しています。幸いにも日本国内ではこれまで、サイバー攻撃によって重要インフラが直接的に大きな被害を受けたことはありませんが、過去にはシステムトラブルによって金融システムや通信インフラが長時間に渡ってダウンし、大きな混乱が生じたことがありました。
そのため政府も、重要インフラをサイバー攻撃の脅威から守る取り組みを極めて重要視しています。内閣サイバーセキュリティセンター(NISC)では、重要インフラの運営を担う事業者と、そこで行われるセキュリティ対策を支援する所管省庁が参照すべき指針として、「重要インフラの情報セキュリティ対策に係る行動計画」を公表しています。
この行動計画は2000年に初めて公表され、その後のセキュリティ事情および社会情勢の変遷を踏まえて何度かの改訂を繰り返しながら、2018年7月には現時点での最新版となる「重要インフラの情報セキュリティ対策に係る第四次行動計画(改定)」が公表されました。現在、官民を挙げてこの行動計画に沿った重要インフラのセキュリティ対策強化が進められており、重要インフラ分野のシステム構築・運用やセキュリティ対策に携わる方にとっては必見ともいえる内容となっています。
重要インフラの各分野ごとに具体的な指針・施策を提示
この行動計画では、いわゆる「重要インフラ」として以下の14分野を定義しています。
・情報通信(通信、ケーブルテレビ、放送)
・金融(生保、損保、銀行、証券)
・航空
・電力
・鉄道
・ガス
・政府・行政
・サービス
・医療
・水道
・物流
・化学
・クレジット
・石油
これら14分野の重要インフラの運営を担う事業者(重要インフラ事業者)は、「機能保証」の考え方に基づいて、他の事業者や所管省庁などとも連携しながら、情報セキュリティ対策に積極的に取り組むことが求められています。ここで言う「機能保証」とは、「重要インフラサービスを安全かつ持続的に提供するための取組」と定義されていますが、必ずしも重要インフラの安全かつ持続的な提供を“確約”するものではなく、「重要インフラ防護の目的を果たすために、情報セキュリティ対策に関する必要な努力を適切に払うことを求める考え方」とされています。
実際の行動計画の中身は、「安全基準等の整備及び浸透」「情報共有体制の強化」「障害対応体制の強化」「リスクマネジメントおよび対処体制の整備」「防護基盤の強化」の5つの施策群に分けられ、それぞれ具体的な方針や施策が示されています。その内容は多岐に渡りますが、直近の改訂では特に、インシデントが発生した際の迅速な対応と復旧を可能にするための「対処体制」の重要性が打ち出されています。これは、情報セキュリティ一般におけるインシデントレスポンスの重要性の高まりに呼応したものだと言えるでしょう。
また、これら具体的な施策を検討・実施する上では、以下3つの重点的な取り組み方針を反映させるとしています。
- オリパラ大会も見据えた情報共有体制の強化
- リスクマネジメントを踏まえた対処体制整備の推進
- 重要インフラ事業者等における先導的取組の推進
上記1と2に関しては既に説明した通りですが、3に関しては各業界におけるリーディングカンパニーが率先して情報セキュリティ対策を進めることで、業界全体の意識の底上げが進むことを期待したものです。
加えてこの行動計画では、重要インフラ事業者の経営層が自らリーダーシップを発揮して、機能保証の観点から情報セキュリティ対策に率先して取り組むことを求めています。これも、サイバーセキュリティを経営リスクととらえ、リスクマネジメントの一環として取り組むことを企業に求めた昨今の情報セキュリティ対策の考え方を強く意識したもので、経済産業省が2017年11月に発表した「サイバーセキュリティ経営ガイドライン Ver.2.0」の内容とも多くの部分で一致しています。
このように「重要インフラの情報セキュリティ対策に係る第四次行動計画(改定)」は、重要インフラ分野の情報セキュリティ対策に関して極めて広範な内容を網羅しており、重要インフラの運営やセキュリティ対策に直接関わっている方はもちろんのこと、情報セキュリティ全般に興味を持つあらゆる方にとって有益な内容を含んでいます。NISCのサイトから誰でもダウンロードできますので、興味を持たれた方はぜひ一度参照されることをお勧めします。
ホワイトペーパー「すべての組織が狙われている」
企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606
