NCO 重要インフラCS統一基準案を作成
国家サイバー統括室(NCO)は、電力など重要インフラ事業者におけるサイバーセキュリティ(CS)の確保に関して、国の行政機関が実施する施策の統一的な基準となる「重要インフラ統一基準(案)」を作成した。
国民生活、経済活動の基盤である重要インフラを、官民が連携して重点的に防護するため、官民共通の「重要インフラのCSに係る行動計画」を策定し、CS対策に取り組んできた。他方で、各重要インフラ分野における政府機関の施策や、重要インフラ事業者の取り組みの評価・改善につながるような、具体的で統一的な基準が無いため、分野・事業者によって、CS確保の取り組みや水準に、ばらつきが見られることが課題となっていた。
分野・事業者に留まらず、横断的なCS対策の徹底を図るため、昨年5月にCS基本法を改正し、CS戦略本部が同統一基準の導入を決定。これを受けてNCOは、関係省庁との協議、重要インフラ事業者や有識者との意見交換を経て、このほど同案を作成した。
国家を背景とした攻撃キャンペーンの発生など、深刻化するサイバー脅威に対して、重要インフラ事業者のCSを一層確保するため、同統一基準を通じてNCOは、政府機関として積極的に関与することで、事業者の自主的な取り組みを、より効果的に促進する考え。同統一基準は、同基準の適用範囲をはじめ、政府機関が取り組むべき施策や、その実効性の確保に向けたPDCAサイクル、分野・事業者の特定などについて記載。さらに、重要インフラ事業者が、分野・事業者横断的に講ずべき対策として、省令・ガイドラインといった安全基準で規定する事項を示した。
このうち同基準の適用範囲については、重要インフラ防護範囲を見直し、基幹インフラ事業者を含めた関係事業者に対し、基本的な対策の徹底を求める。同基準を通じて、事業者が取り組むべき主な対策として、〇「閉域網だから安全」との考え方の刷新、〇サプライチェーン・リスクへの対応、〇ランサムウェア攻撃などの被害を低減するためのレジリエンス向上、〇技術・脅威の動向等を踏まえた対策、〇官民双方向でのコミュニケーションの強化―などを想定する。
このほど、同基準案のパブリックコメントを開始しており、6~7月にもCS戦略本部が同基準を決定。その後、NCOが夏頃に安全基準等策定ガイドラインを取りまとめ、10月の統一基準施行を目指す。27年春~夏頃には、各政府機関が、同基準に基づく実施計画を提示する。
