港湾追加で再注目の「重要インフラ」、自社への影響を改めて確認

名古屋港へのサイバー攻撃を受け、港湾を「重要インフラ」に追加

2023年11月末、コンテナターミナルにおける情報セキュリティ対策等検討委員会（以下、検討委員会）の第2回目が開かれ、港湾をサイバーセキュリティ基本法が定める「重要インフラ」に追加すること、国によるセキュリティの審査制度の導入などの方針案が示されました。これをもとに、2023年度内にもサイバーセキュリティ基本法に基づく行動計画に正式に追加していく見込みです。

検討委員会は、港湾が「国民生活及び経済活動の基盤として機能している営造物」としてその重要性を指摘し、まずのセキュリティを確保するため制度的措置として、港湾運送事業法に基づき、セキュリティ対策の審査を導入することを示しました※。具体的には、「港湾運送事業への参入等に際して審査を受ける必要がある事業計画にTOS（ターミナルオペレーションシステム）の概要や情報セキュリティの確保に関する事項の記載を求める」というものです。また、経済安全保障の観点から、港湾セキュリティに対して、政府の積極的な関与が必要であるとし、港湾を重要インフラ分野に位置づける提案が付け加えられました。
※中間取りまとめ②に位置付ける情報セキュリティ対策等の推進のための制度的措置（案）

重要インフラとは、国民生活や社会経済活動の基盤であり、政府はその定義を「他に代替することが著しく困難なサービスを提供する事業が形成する国民生活及び社会経済活動の基盤であり、その機能が停止、低下又は利用不可能な状態に陥った場合に、わが国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるもの」と説明しています。2022年に、サイバーセキュリティ基本法において、重要インフラのセキュリティ確保が義務化され、さらに、これら事業者等のセキュリティ方針を規定した「重要インフラのサイバーセキュリティに係る行動計画（以下行動計画）」で、14分野が重要インフラに指定されました（図1）。
※内閣サイバーセキュリティセンター　重要インフラについて

ここでおさえておきたい点が、サイバーセキュリティ基本法や行動計画では、重要インフラだけでなく、そのサプライチェーンの役割も示されている点です。

図1　14分野として指定された事業分野（「重要インフラのサイバーセキュリティに係る行動計画の概要」より引用（2022/6/17）

図1　14分野として指定された事業分野（「重要インフラのサイバーセキュリティに係る行動計画の概要（2022/6/17）」より引用）
「情報通信」「金融」「航空」「空港」「鉄道」「電力」「ガス」「政府・行政サービス（地方公共団体を含む）」「医療」「水道」「物流」「化学」「クレジット」「石油」が指定されている

重要インフラを守る“責務”はその「サプライチェーン」にも

行動計画では、関連するサプライチェーンにおいても、セキュリティ確保や協力が「責務」であるとしています。

サプライチェーン等に関わる事業者

重要インフラサービスを提供するために必要なサプライチェーン等に関わる事業者は、サイバーセキュリティ基本法第7条に規定するサイバー関連事業者その他の事業者に当たる。サイバー関連事業者その他の事業者は、サイバーセキュリティ基本法第7条の規定に基づき、その事業活動に関し、自主的かつ積極的にサイバーセキュリティの確保に努めるとともに、国又は地方公共団体が実施するサイバーセキュリティに関する施策に協力するよう努める責務を有する。

「重要インフラのサイバーセキュリティに係る行動計画（サイバーセキュリティ戦略本部、2022/6/17）」より引用。文中の文字装飾はトレンドマイクロで加えたもの。

また、重要インフラに指定される事業者においても、自組織だけでなく、サプライチェーンを含めた包括的な取り組みを求めています。重要インフラのセキュリティ対策の指針をまとめた「重要インフラのサイバーセキュリティに係る安全基準等策定指針」では、リスクマネジメントや事業継続計画、セキュリティインシデント発生の訓練などにおいて、サプライチェーンを含めた対応を求めています（図2）。

図2　「重要インフラのサイバーセキュリティに係る安全基準等策定指針（サイバーセキュリティ戦略本部、2023/7/4）」で示されたサプライチェーンを含めたセキュリティの取り組み例

こうした政府指針の背景にあるのが、サプライチェーンにおけるセキュリティリスクの深刻化です。国内において、サプライチェーンを構成する組織間でサイバー攻撃やその被害が連鎖するセキュリティ事故が多発しているのです。2023年だけみても、サプライチェーンに起因するセキュリティインシデントは枚挙にいとまありません（表1）。

セキュリティインシデントは、もはや自組織だけの問題ではなく、取引先、さらには社会基盤へと影響を及ぼしかねないビジネスリスクになっていることがお分かりいただけると思います。とくに、サプライチェーンがデジタルでつながる現在、サプライチェーンを構成する最もセキュリティレベルの低い組織のレベルが、サプライチェーン全体のセキュリティレベルを決定する、といっても過言でもありません。重要インフラに指定された事業者だけでなく、サプライチェーン全体で、セキュリティを向上させていく必要があることを認識し、昨今のサイバー攻撃に対応できる体制へと強化することが喫緊課題といえます。

表1　国内で公表されたビジネスサプライチェーン攻撃の被害事例　（2023年1月～2023年10月までの公表事例をトレンドマイクロが整理）

求められる経営層の役割

セキュリティリスクの変化や影響の深刻化を踏まえ、2022年6月に改訂された行動計画では、組織統治の一部としてセキュリティの取り組みを進めることや経営者の責任が明記されています（図3）。従来IT・セキュリティ担当者だけで対応されることが多かったセキュリティですが、事業のデジタル依存度が高まる今、ひとたびサイバー攻撃を受ければ、事業継続にも深刻な影響を与える事態になりかねません。組織全体を俯瞰したセキュリティ戦略が求められる今、政府は行動計画の中で、経営層でなければ、対応できないものも多くなっていると指摘し、その役割の重要性を強調しています。

図3　重要インフラのサイバーセキュリティに係る行動計画における施策群と補強・改善の方向性等（「重要インフラのサイバーセキュリティに係る行動計画」より引用、囲みはトレンドマイクロが加えたもの）

実際、トレンドマイクロの調査で、経営層の関わりが高い組織ほど、セキュリティレベル（セキュリティ成熟度）が高くなることが分かりました（図4）。特に影響を与えている要素を分析すると、「経営会議でのセキュリティに関する議論」、「予算配分まで含めた経営層の指示」が、組織のセキュリティ成熟度を上げるうえで、重要な役割を担っていました。

米国において、重要インフラへの規制やガイドラインが、一般組織へのセキュリティとしてスタンダートとなったように、日本においても、現在政府主導で進む重要インフラおよびそのサプライチェーンへのセキュリティが、今後基準となっていくことが予想されます。規制やガイドライン、業界標準など強制力のレベルは、規模や業種により異なると考えられますが、すべての組織、経営層がセキュリティ認識を高めてくことが求められます。

図４　「セキュリティ成熟度」と「経営層の関わり」の相関関係
経営層の関りが高いほど、セキュリティレベル「セキュリティ成熟度」は高くなる傾向があることが分かった

基幹インフラを守るための政府の取り組みとしては、サイバーセキュリティ基本法のほか、経済安全保障推進法（「経済施策を⼀体的に講ずることによる安全保障の確保の推進に関する法律」2022年5月成立）があります。
政府はこの中で、重要設備を導入する際に政府の審査を必要するなど、基幹インフラ（「特定社会基盤事業者」）へのセキュリティを盛り込みました。対象となる基幹インフラには、電気、ガス、石油などの14分野が指定されています。ここで指定された14分野は、サイバーセキュリティ基本法の14分野と全く同じではありあません。混同されやすいため、注意が必要です。基幹インフラへセキュリティ制度について、2024年春頃までの運用開始に向け、各省庁から「特定社会基盤事業者」の企業名が発表されています。トレンドマイクロでは、これらの事業者情報を一覧としてまとめた資料をご提供しています。自組織や取引先の状況確認にご活用ください。経済安全保障推進法に基づき指定された「特定社会基盤事業者」一覧