重要インフラ(電力、ガス、水道、通信、金融、交通、医療など)を狙うサイバー攻撃は、企業の損害にとどまらず、国民生活や経済活動へ連鎖的な影響を及ぼします。こうした状況を踏まえ、政府側からも「経営トップ主導で対応を」との趣旨が示されました。結論から言えば、重要インフラのサイバー対策は情報システム部門の努力だけでは限界があり、事業継続と安全確保を両立するためには、経営がリスクを定義し、投資と意思決定を前に進めることが不可欠です。
重要インフラが直面する脅威の現実
近年の攻撃は、単なる情報窃取から「止める」「壊す」「脅す」へと比重が移っています。ランサムウェアによる暗号化・脅迫はもちろん、サプライチェーン侵害やゼロデイ悪用、認証情報の窃取を起点とする横展開が一般化しました。重要インフラ領域では、IT(業務系)だけでなくOT(制御系)やIoT機器、委託先の保守端末・リモート接続を踏み台にされるケースが増え、被害は復旧の難しさと社会的影響の大きさで深刻化します。
特に重要なのは、攻撃者の目的が「データ」ではなく「サービス停止」になり得る点です。発電・送配電、上下水処理、交通運行、医療提供、決済・現金供給といった機能が一時でも停止すれば、企業価値の毀損に加え、住民の生命・安全、地域経済、行政サービスまで影響が波及します。したがってサイバー対策は、IT投資の一部ではなく、危機管理・事業継続(BCP)そのものとして設計されるべきです。
なぜ「経営トップ主導」が必要なのか
経営トップが関与すべき理由は、大きく3つあります。
リスク許容度の決定は経営の責務
重要インフラでは「停止しない」ことが最優先になりがちですが、現実には全リスクをゼロにすることはできません。どの事業プロセスをどの水準で守るのか、停止許容時間(RTO)や復旧目標(RPO)をどう置くのか、どこまでを内製しどこからを委託するのかといった判断は、事業戦略と表裏一体です。これを現場任せにすると、対策が部分最適になり、致命点が残ります。
投資・人材・組織横断調整はトップでないと動かない
OT領域の可視化、ネットワーク分離、ログ基盤、監視運用、脆弱性管理、バックアップ強化、ゼロトラスト化など、重要インフラに必要な対策は複数年・複数部門にまたがります。設備部門、保守、調達、総務、法務、広報、現場運用が絡み、優先順位付けと予算配分には強いガバナンスが必要です。トップが方針を明確にし、KPIと責任分界を定義しない限り、実行力は生まれません。
インシデント対応は「経営判断」の連続
攻撃を受けた瞬間から、サービス継続の可否、ネットワーク遮断の範囲、外部公表、顧客対応、規制当局への報告、復旧優先順位、身代金要求への方針など、経営判断が求められます。平時から経営が関与してプレイブック(対応手順)と意思決定フローを整えておかなければ、初動が遅れ、被害が拡大します。
重要インフラ企業がまず整えるべきガバナンス
トップ主導を「掛け声」で終わらせないために、最低限整えるべき土台があります。
取締役会レベルの監督と責任分界
サイバーリスクを経営リスクとして扱い、取締役会(または委員会)で定期的に報告・議論する枠組みを作ります。CISO機能を明確化し、OT領域を含む責任範囲を定義します。委託先・子会社を含めた統制が必要な場合は、グループポリシーと監査権限も設計します。
リスク評価は「資産」ではなく「重要機能」起点で
重要インフラでは、資産台帳の整備だけでなく、「止めてはいけない重要機能」とその依存関係(人・設備・ネットワーク・外部サービス)を可視化することが要です。重要機能ごとに脅威シナリオを作り、優先順位と対策ロードマップを決めます。
サプライチェーンとリモート保守の統制
侵入口になりやすいのが委託先です。契約でのセキュリティ要件、アクセス制御(最小権限・時間制限・特権ID管理)、作業ログの取得、端末要件(EDR、暗号化、パッチ適用)、緊急時の連絡体制を明文化します。特にOTは保守ベンダーの常時接続がリスクになり得るため、接続方式の見直しが必要です。
実装面で優先すべき対策(ITとOTを分けて考えない)
現場が動きやすい形で、優先順位の高い実務を整理します。
可視化とログ基盤(検知できないものは守れない)
ネットワーク、サーバー、端末、クラウド、ID、OT機器の通信を把握し、ログを集約します。監視は24時間365日が理想ですが、難しい場合でも「重大アラートの即時通知」「休日夜間の連絡網」「初動手順」から段階的に整備します。
認証情報の防御(攻撃者はIDを狙う)
多要素認証の徹底、特権IDの分離、管理者権限の棚卸し、使い回しパスワードの排除が効果的です。重要機能へ到達する経路に関しては、ゼロトラストの考え方で「常に検証し、最小権限で、継続的に監視する」設計へ寄せます。
バックアップと復旧訓練(ランサムウェア対策の核心)
バックアップは「取っている」だけでは不十分で、改ざん・暗号化から守るための分離(オフライン、イミュータブル化)と、復旧手順の定期検証が必要です。復旧に必要な設定情報、手順書、連絡先を紙・オフラインでも保持し、演習で実効性を確認します。
脆弱性管理とパッチ適用の現実解
OTでは安易なパッチ適用が難しい場合があります。その場合は、資産の重要度で優先順位を付け、仮想パッチ(IPS/セグメンテーション)、到達経路の遮断、補償統制(監視強化・アクセス制限)を組み合わせます。重要なのは「適用できない」ことを放置せず、リスク低減策を経営が承認し、期限と責任者を置くことです。
インシデント対応は平時に勝負が決まる
重要インフラでは、対応の遅れが社会的損害を拡大させます。平時に整えるべきは、技術対策以上に「運用」です。
初動の型(封じ込めと継続の両立)
感染端末の隔離やネットワーク遮断は有効ですが、遮断範囲を誤れば自らサービスを止めてしまいます。重要機能の依存関係を踏まえた「遮断の段階案」と、代替運用(手作業、迂回経路、縮退運転)を事前に用意します。
通報・公表・対外調整の準備
規制当局、取引先、利用者への通知、報道対応は、信頼に直結します。法務・広報・現場を交えたテンプレートと判断基準を整備し、演習で磨き込みます。復旧見込みを過度に楽観して発信しないこと、確認できた事実と未確認を分けることが重要です。
「守る」から「レジリエンス」へ:経営が持つべき指標
経営が把握すべき指標は、技術の細部ではなく、事業影響と実行状況が見えるものです。例えば、重要機能ごとのRTO/RPO達成度、特権IDの棚卸し完了率、重要システムの多要素認証適用率、バックアップの復旧テスト成功率、委託先の要件適合率、重大アラートの検知から封じ込めまでの時間などが有効です。これらを四半期単位でレビューし、未達には追加投資や体制変更を伴う是正措置を紐づけます。
まとめ:トップ主導は「責任の明確化」と「継続投資」を意味する
重要インフラのサイバー攻撃対策におけるトップ主導とは、単に「優先度を上げる」ことではありません。重要機能を起点にリスクを定義し、組織横断で対策を実装し、演習を通じて有事の意思決定を可能にすることです。攻撃は必ず起きる前提で、止めない設計と、止まっても早期復旧できる設計を両輪で進める必要があります。経営が自らの言葉で方針を示し、KPIと予算を握り、継続的に監督する。そこから初めて、重要インフラに求められるレベルの実効性が生まれます。