2022年5月に経済安全保障推進法が制定され、インフラ事業の安全性・信頼性の確保を目的として重要インフラ事業者に対してサイバーセキュリティの対応が求められています。
本稿では、重要インフラ事業者に対する「基幹インフラ役務の安定的な提供の確保に関する制度」において、特定社会基盤事業者が取り組むべきセキュリティ施策について解説します。
近年、経済安全保障・地政学的な緊張の高まりはサイバー空間にも影響を与えています。国民の生存、または経済・社会秩序の平穏に深くかかわるインフラ事業に対する、組織的かつ洗練されたサイバー攻撃のリスクは増大する一方です。
日本では、2022年5月に経済安全保障推進法が制定され、インフラ事業の安全性・信頼性の確保を目的とした、「基幹インフラ役務の安定的な提供の確保に関する制度」の運用開始が24年春頃とされています。
本制度では、インフラ事業者が設備の導入等を行う前に、政府が当該設備の導入等に伴うリスクを把握し、外部から行われる妨害行為の手段として利用される恐れが大きい場合には、そのリスクの低減、または排除を可能としています。対象設備は、サプライチェーンの過程で不正機能が埋め込まれる可能性や、機器の脆弱性がインフラ事業者の意図に反して組み込まれるリスクを低減するために、リスク管理措置の導入が求められます。
本制度では、基幹インフラの安全性確保等のために、特定重要設備の導入・維持管理等の委託に対して、導入計画書の提出を事業者に求めており、国による事前審査・承認なしでは導入等の中止命令が可能になっています。
本制度は、特定重要設備の導入、維持管理のサプラチェーンにおけるリスクを特定し、経済・社会秩序の平穏を損なう恐れのあるサイバー攻撃をはじめとした外部からの妨害行為に対して、継続的にリスクを低減、または排除する仕組みを各事業者が作ることを求めています。
特定重要設備の規模に比例して介在する供給者が膨大になることが考えられます。導入計画発行までの検討に遅れが出ないように、特定重要設備の供給者に関しては、委託先管理のプロセスのなかで事前の棚卸と必要な情報の収集によって、危険因子となり得る供給者が特定されていることが望ましいと言えます。
特定社会基盤事業者は、リスク管理措置をサプライヤーに提示することが求められます。
リスク管理措置は、基本指針において考え方が示されるのみで、事業者によるリスク判断によって詳細は定めるべきとされています。基幹インフラを抱える各事業者の多くは、業界規制によってセキュリティ要件が示されていることが多く、基本指針より期待事項を読み取り、国際基準・業界規制に基づき自社におけるリスク管理措置を具体化することが必要です。
また、導入、維持管理の対象となる特定重要設備に対するリスク分析に基づき、実施すべきリスク管理措置を説明可能なかたちで整理すべきです。
特定重要設備の導入、維持管理は継続的に安全性・信頼性が求められることから、再現性を高めるためにも、特定重要設備のリスク分析手法は整理しておくことが望ましいでしょう。
基幹インフラの信頼性確保においては、特定重要設備のサプライチェーンにおける委託先管理が中核となります。特定社会基盤事業者が定めるリスク管理措置に基づき、サプライヤーが準拠していることをモニタリングし、ギャップに対する改善活動が行える管理プロセスの整備が必要です。委託先管理は再委託先までスコープとされているため、モニタリングプロセスと評価手法を具体化し、契約をもってサプライヤーとの協力体制を構築することが重要となります。
また、膨大なアセットを抱える事業者になればなるほど委託先管理の負荷も増大するため、場合によってはソリューションの導入検討も必要となるでしょう。
本制度で求められる導入計画は、(1)~(3)におけるアウトプットを基に作成されるものです。本制度は、最大4ヵ月まで延長される可能性がある事前審査を経て、特定重要設備の導入・維持管理が許可されることから、今後の調達・業務委託においてはその期間も織り込んだ事前準備が必要になります。導入計画書は雛型を固め、必要な情報を効率的に集められるようにすべきです。
KPMGでは、上記を包括した支援を行っています。お気軽にお問い合わせください。
KPMGコンサルティング
ディレクター 保坂 範和
シニアマネジャー 牛越 達也
