サイバーセキュリティ面から
基幹インフラを保護する
経済安全保障推進法
国際情勢の複雑化や社会経済構造の変化などにより、安全保障の裾野が経済分野に急速に拡大する中、国家・国民の安全を経済面から確保する取り組みを強化・推進するため、2022年5月に「経済安全保障推進法」が成立した。この法律は全部で4つの制度から成り、2024年5月までに全ての制度が運用を開始している。今回は、4つの制度のうち、サイバーセキュリティ対策に関係する制度について、その内容や意識すべきポイントを解説する。
国による基幹インフラ設備の審査
サイバーセキュリティ対策に関係するのは「基幹インフラ役務の安定的な供給の確保に関する制度」だ。この制度は、基幹インフラの重要設備がインフラ役務の安定的な提供を妨害する行為の手段として使用されることの防止を目的としている。重要設備には、サーバーやネットワーク機器、各種監視・制御装置などのハードウェア、各種ソフトウェア、OSなどが含まれる。この制度では、特定社会基盤事業者として主務大臣に指定された15分野210の事業者(図1)が、国の指定する重要設備(以下、特定重要設備)を導入したり、設備の維持管理などを他社に委託したりする際に、その内容をまとめた計画書を国が事前に審査することが定められている。計画書に記載されるのは主に次のような内容だ。
・特定重要設備の概要
・導入内容、時期
・設備の供給者情報(名称、住所、国籍、決議権保有者、役員の生年月日・国籍、外国政府との取引状況、製造工場など)
・リスク管理措置の実施状況
計画書の内容から、特定重要設備がインフラ役務を妨害する行為の手段として使用される恐れが大きいと認められる場合、国は計画書を届け出た者に対し、妨害行為を防止するために必要な措置(リスク管理措置)を講じた上で重要設備の導入などを行うことを勧告(命令)できる。
リスク管理措置のポイント
リスク管理措置は、「特定重要設備を導入する場合」と「特定重要設備の重要維持管理などを委託する場合」に分かれている。そして、その対象はサプライチェーンを含む(図2)。以下にリスク管理措置のポイントを示す。関係する事業者はこのポイントを確認し準備しておく必要がある。
【特定重要設備を導入する場合】
□悪意のあるコードの混入を確認する体制整備と脆弱性テストの実施
□セキュリティパッチ適用と不正プログラム対策の実装
□製造工程における品質保証体制の確立
□製造工程における不正な変更の有無を定期的または随時確認
□定められた要員以外からの製造環境への物理的かつ論理的アクセスを制限
□インターネット接続時の不正アクセス防止の実装とマニュアルなどの整備
□設備の供給に携わる者による不正な変更を防止する体制の確立
□不正な変更や予兆検知時の供給者による調査などへの協力確約
□故障や脆弱性対応サービス保証
□故障や脆弱性対応サービス保証が受けられなくなった場合の代替手段の検討
□ランサムウェア感染などの妨害が行われた場合の事業継続体制(バックアップ、隔離、復旧手順、代替設備との交換など)の整備
□インシデント発生時の対応方針・体制(マニュアルや訓練など)整備
□アクセス制御と不正アクセス監視の仕組みの実装
【特定重要設備の重要維持管理などを委託する場合】
□操作ログや作業履歴の保管と、それらの確認などによる不正な変更有無の定期的または随時確認
□最新セキュリティパッチ適用など定期的な資産管理の実施
□設計書や設備などの情報への定められた要員以外からの物理的かつ論理的アクセス制限
□要員や管理責任者に対するサイバーセキュリティ教育・研修の定期的な実施
□再委託を行う場合の特定社会基盤事業者による承認
□再委託先に対する委託先と同等のサイバーセキュリティ対策の確保
□委託先および再委託先の事業安定性の確認
上記以外の共通事項として、国内関連法規・国際基準への遵守状況、外国の法的環境などに影響を受け契約違反が生じた場合の報告義務、監視カメラやドローンなどの映像情報の取り扱いが外部の法的環境などによる影響を受けないことの確認、国外からの影響を判断するための情報提供の担保がある。
経済安全保障推進法の今後
今後、中小規模事業者が特定社会基盤事業者や特定重要設備の供給元、維持管理業務の委託先になることも想定されるが、中小規模事業者の負担にならないように検討する必要がある。また、現在、医療DX環境や地方公共団体のガバメントクラウドを本制度の対象に追加するかどうか議論されており、それらが加わればさらに影響範囲は広がるだろう。関係する事業者の経営層は本制度を認識して事業を推進していただきたい。
<参考資料>
内閣府「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(経済安全保障推進法)」
https://www.cao.go.jp/keizai_anzen_hosho/
内閣官房「経済安全保障法制に関する有識者会議(令和4年度〜)第10回 令和6年6月4日 資料6 経済安全保障推進法の取組状況」
https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyohousei/r6_dai10/siryou6.pdf
参議院「経済安全保障推進法制定後の動きと今後の課題」
https://www.sangiin.go.jp/japanese/annai/chousa/rippou_chousa/backnumber/2023pdf/20231101003.pdf
内閣府「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について(2024年7月3日時点)」
https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/infra/doc/infra_gaiyou.pdf
内閣府「特定社会基盤事業者として指定された者(2024年2月15日時点)」
https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/infra/doc/infra_jigyousya.pdf