重要インフラに対するサイバー攻撃に備えたセキュリティ対策について政府はインフラ事業者と連携して行動計画を策定しています。政府は今春、今後3年間を見据えた新たな行動計画を策定する予定で、内閣サイバーセキュリティセンター(NISC)が行動計画案をまとめ、現在、パブリックコメントを募集しています。新たな行動計画ではサイバーセキュリティ対策を経営層も含めて取り組むことが明記されています。どういうことでしょうか?
もはやシステム部門だけで対処することは困難に
「ランサムウェアによる被害は深刻化さを増しています。システムの現場だけで対処することは難しく、経営層をも含む組織全体でサイバーセキュリティ対策に取り組んでいく必要があります」とNISCの担当者は話しています。サイバーセキュリティ基本法にもとづき内閣には官房長官をトップとするサイバーセキュリティ戦略本部が、内閣官房には内閣サイバーセキュリティセンターが設置されています。現在の日本の国のサイバーセキュリティは、内閣のサイバーセキュリティ戦略本部が戦略を立案し、閣議決定を経た後、内閣サイバーセキュリティセンターが司令塔となって具体化していく、そんな建てつけになっています。
そして各種産業の中でも、情報通信、金融、航空、空港、鉄道、電力、ガス、医療、水道・物流、化学、クレジット、石油、それに政府・行政サービスを加えた14分野については重要インフラとしてサイバーセキュリティ対策の行動計画が策定されてきました。現行の行動計画は第4次となり基本的には2017(平成29)年のサイバーセキュリティ戦略にもとづき策定されたものです。政府は昨年9月、今後3年間を見据えた新たなサイバーセキュリティ戦略を閣議決定しました。これを受けて重要インフラの行動計画についても内閣サイバーセキュリティセンターで改定に向けた取り組みが行われてきました。ちなみに現在の行動計画の正式名称は、「重要インフラの情報セキュリティ対策に係る第4次行動計画」というものですが、新しく策定される行動計画は「重要インフラのサイバーセキュリティに係る行動計画」となるようで情報セキュリティがサイバーセキュリティとなるほか第5次という表記はなくなるようです。
サイバーセキュリティを含む内部統制システムの構築や監査の実施
現行の第4次行動計画では経営者に以下の点を求めています。
- 経営者自らがリーダーシップを発揮して対策に取り込むこと。
- サプライチェーンを含めた対策に取り込むこと。
- インシデント発生時の対応等に関する情報の開示等に取り組むこと。
- 必要な予算・体制・人材等の経営資源を継続的に確保し、適切に配分すること。
しかし、現行はお願いベースの努力目標でした。新たに策定される行動計画では「昨今の重要インフラを取り巻くサイバーセキュリティの状況では、経営層、CISO、戦略マネジメント層、システム担当者を含めた組織一丸となった対応が求められるようになってきた」とし、「組織統治の中にサイバーセキュリティを組み入れ、障害対応体制の強化を推進していく必要がある」と記載、サイバーセキュリティ体制を含めた企業の内部統制システムの構築、適切なサイバーセキュリティ体制を担保する監査の実施、情報開示による社会への説明責任の必要性、損害が生じた際の経営責任などについて触れています。
行動計画はあくまでも内閣官房が示した「計画」ですので、今後、各インフラ業界を所管する省庁や企業自身によって具体的な取り組みが進んでいくものと思われますが、行動計画はサプライチェーンを含めた対策の必要性を指摘していますので、重要インフラを担っている企業にとどまらずそのサプライチェーンを含む企業にも影響があるものと考えられ、サイバーセキュリティは企業の経営課題との認識が社会に浸透していくことが想定されます。
ちなみに一部メディアでは今回のNISCにおける行動計画の改定と今国会に提出が予定されている経済安全保障法案を混同して報道しているとの指摘も聞こえてくるのですが、経済安全保障の分野においても企業は機微情報の管理や漏えいなどに関してサイバーセキュリティ上の取り組み強化が求められていくと思われますので、サイバーセキュリティは国内企業にあってもますます経営上の重大なテーマになっていくものと考えられます。
■出典