政府の重要インフラにおけるサイバーセキュリティ指針とは?

今回は、重要インフラのサイバーセキュリティについて取り上げます。

政府の、重要インフラに対するサイバーセキュリティの指針は、2005年9月15日に開催された情報セキュリティ政策会議で初めて示されました。その内容は「重要インフラの情報セキュリティ対策に係る基本的考え方(案)」としてまとめられています。

参考:重要インフラの情報セキュリティ対策に係る基本的考え方(案)の概要PDF
参考:重要インフラの情報セキュリティ対策に係る基本的考え方(案)PDF

この時に対象となったインフラは、「情報通信」、「金融」、「航空」、「鉄道」、「電力」、「ガス」、「政府・行政サービス」、「医療」、「水道」、「物流」の10分野です。その後、「空港」、「化学」、「クレジット」、「石油」の4分野が追加されて、全14分野となり、現在に至ります。

参考:重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版)PDF

重要インフラ サイバーセキュリティ指針策定の背景とは?

重要インフラにおける、サイバーセキュリティ指針策定の背景にあるのは、2000年に作成された重要インフラのサイバーテロ対策に係る特別行動計画について、IT利用の促進によりサイバー脅威が高まり、見直す必要があったためです。

そして、日本に先駆けて行われた米国での対策と、国内外での重要インフラを狙ったセキュリティインシデントの多発も見逃せません。

1.米国における重要インフラのサイバーセキュリティ対策

米国においては、1990年後代から重要インフラのサイバーセキュリティ対策が始まりました。きっかけとなったのが、1993年2月のニューヨーク世界貿易センター爆破事件と1995年4月のオクラホマ連邦政府ビル爆破事件です。これらの2つの事件をきっかけにして、テロ対策として重要インフラのサイバーセキュリティが、重要視されます。

1997年には、大統領令で重要インフラ8分野の保護が、指定されています。さらに2001年の9.11同時多発テロ事件を受けて、翌2002年に国土安全保障法が施行され、2003年に国土安全保障省が発足します。

国土安全保障省の発足により、国の安全保障の一環として、重要インフラのサイバーセキュリティ対策が整備され、2006年には国家インフラ保護計画が発行されました。

2.重要インフラを狙ったセキュリティインシデント

もう1つの背景が、2000年代以降に国内外で多発する、重要インフラを狙ったセキュリティインシデントです。

2003年には、米国の原子力発電所において、監視制御システムのネットワークにSQL Slammerワームが感染し、プロセスコンピュータが6時間停止する事態に陥ります。さらに同年EUでは、電力の監視制御システムが、マルウエアに感染し、多数の発変電設備において管理機能が停止しています。

日本においても2005年から2006年にかけて、原子力発電所と火力発電所における機密情報の流出事件がありました。原因は、従業員が自宅パソコンに移した機密情報が、ファイル共有ソフト経由で外部に漏えいしたためです。

さらに2010年代に入ると、重要インフラのセキュリティインシデントは深刻化します。ウクライナでは、2015年から2016年にかけてサイバー攻撃による大規模停電が発生するなど、市民生活へ大きな影響を及ぼす事件も発生しています。

重要インフラ14分野のセキュリティ基準とは?

重要インフラのセキュリティ対策を行う上で、柱となるのがPDCAサイクルによる継続的な改善です。そして、目指すべき具体的なセキュリティ基準を示しているのが、「重要インフラにおける情報セキュリティ対策の優先順位付けに係る手引書(以下:手引き書)」です。

参考:「重要インフラにおける情報セキュリティ対策の優先順位付けに係る手引書」PDF

手引き書では、セキュリティインシデントが発生した場合の、最小限に抑えるべき影響の基準を、以下のように示しています。
※14分野のうち、「空港」は「航空」に含まれるため、以下13項目です

1.情報通信

(1) 電気通信役務(固定電話、携帯電話、PHSなど)
基準1 影響を受ける人数 :3万人未満
基準2 サービス停止・低下:2時間未満

(2) 放送(テレビ:VHF・UHF・衛星放送など ラジオ:AM・FM)
基準1 影響を受ける人数 :指定なし
基準2 サービス停止・低下:15分未満(中継局の無線設備にあっては、2時間未満)

(3) ケーブルテレビ
基準1 影響を受ける人数 :3万人未満
基準2 サービス停止・低下:2時間未満

2.金融

(1) 銀行等の預金・貸付・為替・資金精算
基準:業務に遅延・停止が発生しないこと

(2) 銀行等の電子記録等
基準:情報提供に遅延・停止が発生しないこと

(3) 生命保険・損害保険の保険金等の支払い
基準:保険金等の支払いに遅延・停止が発生しないこと

(4)-1 有価証券の売買等
(4)-2 有価証券の売買等の取引の媒介・取次ぎ・代理
(4)-3 有価証券等清算取次ぎ
基準:預り有価証券等の売却、解約代金の払い出し等に遅延・停止が発生しないこと

(5) 金融商品市場の開設
基準:有価証券の売買又は市場デリバティブ取引等に遅延・停止が発生しないこと

(6) 振替業
基準:社債・株式等の振替等に遅延・停止が発生しないこと

(7) 金融商品債務引受業
基準:金融商品取引の清算等に遅延・停止が発生しないこと

3.航空(空港を含む)

(1) 旅客、貨物の航空輸送サービス(航空機の運航)
(2) 航空交通管制業務
(3) 気象情報配信
(4) 予約、発券、搭乗・搭載手続き
(5) 運航整備
(6) 飛行計画作成
基準:貨客の運送に支障を及ぼす定期便の欠航が発生しないこと

4.鉄道

(1) 旅客輸送サービス(列車の運行)
(2) 発券、入出場手続き
基準:旅客の輸送に支障を及ぼす列車の運休が発生しないこと

5.電力

基準1 供給支障電力:10万kW未満(約2万9千世帯未満※)
基準2 支障時間  :10分未満
※1世帯あたり平均35A(3.5kW)の契約とした場合

6.ガス

基準 供給支障戸数:30世帯未満

7.政府・行政サービス

基準1:住民等の権利利益の保護に支障が生じないこと
基準2:住民等の安全・安心を確保できる時間内にシステムの復旧を行うこと

8.医療

基準1:医療機器の誤作動により、人の生命に危険が及ばないこと
基準2:診療の継続に支障が出ないこと

9.水道

基準:給水に支障を及ぼすものが出ないこと

10.物流

基準:貨物運送の停止や貨物の紛失が出ないこと

11.化学

基準:石油化学製品の供給に著しく重大な支障が出ないこと

12.クレジット

基準:オーソリゼーションの遅延・停止・不正使用等が行われないこと
※オーソリゼーションとは、クレジットカードを使用する際に、そのカードが有効なことをカード会社に確認する作業

13.石油

基準:石油の供給確保に支障がでないこと

以上の、重要インフラのサイバーセキュリティ基準は、2020東京大会への対応も視野に入れており、特に鉄道と航空分野は色濃く反映していると言えるでしょう。

リーガルテック社の「フォレンジック技術」は、重要インフラのサイバーセキュリティをサポートします。

今回は、重要インフラ14分野のサイバーセキュリティについて取り上げました。

重要インフラはどの分野においても、大きなサプライチェーンを形成しているので、関わる全ての人がセキュリティに対して高い意識を持つことが重要です。そして、サイバー犯罪者が関係者になりすまして内部に入り込んだ場合に備えて、内部不正対策も欠かせません。

しかし、多数の関係者に対するセキュリティ教育と内部不正対策にかかる、膨大な手間と時間にお悩みの、セキュリティ担当者野方も多いのではないでしょうか? そこで、オススメなのが、リーガルテック社の「フォレンジック技術」です。

「AOS Fast Forensics」は、サイバーセキュリティ対策として、重要インフラ関係者が使用するパソコンからのデータ流出防止に役立ちます。「AOS Fast Forensics」は、対象となるパソコンなどの端末にUSBメモリを挿入し、プログラムを実行するだけで、インストールすることなく手間と時間をかけずに、素早いデータ収集が可能です。

そして、そのデータ収集機能により、不正アクセスの早期発見に役立ちます。しかも、調査対象パソコンへのデータ改変を最小限に抑えられるので、業務への影響も少なく安心です。

さらに、「AOS Fast Forensics」は、「内部不正対策」にも効果を発揮します。「AOS Fast Forensics」は、そのデータ収集機能により内部不正による情報の盗み取りや、データ改ざんなどが行われた場合でも、早期に発見できます。

定期的に「AOS Fast Forensics」よるデータ収集を行い、機密情報へのアクセスに対して「常に目が行き届く」体制を作ることが、内部不正防止には効果的です。

USBメモリを挿入するだけ、高速フォレンジックツール「AOS Fast Forensics」

万一、内部不正が起きてしまった場合や疑われる場合には、その調査で企業内フォレンジック調査ルーム「AOS Forensics ルーム」が役立ちます。内部不正が起きてしまった場合、被害を最小限にするためには、時間との勝負です。

なぜなら、その原因究明と対策が遅れるほどサイバー攻撃の被害は拡大するからです。地域住民の方への悪影響が及ぼさないためにも、被害を最小限にすることが、早期の信頼回復につながります。

リーガルテック社は、組織内のフォレンジック調査スタッフが作業を行うための専用ルームの構築支援サービス「AOS Forensics ルーム」を設立するためのコンサルティングからフォレンジックツールの選定、使い方のトレーニングまで、さらには、より高度なフォレンジック調査サービスを通じて、インハウス・フォレンジックルームの設置をサポートいたします。

企業内フォレンジック調査ルーム「AOS Forensics ルーム」