重要インフラ行動計画、環境の変化を考慮して継続的に改定していくことが重要――NISC 結城則尚氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

我が国の重要インフラ防護政策は、2000年から開始され、20年が経過したところ。サイバーを取り巻く脅威はとりわけ近年増大しており、こうした状況を踏まえ、事業者の成熟度、多様性を考慮した改善策が今日的な課題となっている。

[山下竜大，ITmedia]

　「組織をうまく導き、運営するには、体系的で透明性のある方法によって指揮、および管理することが必要です。全ての利害関係者のニーズに取り組むとともに、パフォーマンスを継続的に改善するように設計されたマネジメントシステムを実行し、維持することで成功を収めることができます。マネジメントシステムには、組織が継続的な成功を達成するのを支援する狙いがあります。全ての利害関係者のニーズに取り組むことは需要です。マネジメントは認証を取得するためだけのものではなく、自組織成功のためのものとして使いこなしてほしい」（結城氏）

重要サービスの継続的提供が重要インフラ防護の目的

　重要インフラ防護の目的は、「重要サービスの継続的提供の強靭性の確保」である。2014年に公布、施行された「サイバーセキュリティ基本法」では、重要インフラ事業者等の責務、重要インフラ事業者等におけるサイバーセキュリティ確保の促進のために、国が必要な施策を講ずる旨が規定されている。

　これを踏まえ、事業者などの自主的な取組をどのように支援することが適切であるか、行動計画の位置付けの再確認が必要。第4次行動計画では、この視点が明確になっていないことから、行動計画改定において明確にすることとしている。

　「日本では、2014年に第3次行動計画策定時にリスクマネジメントを導入するなど、その当時では画期的なものでした。他方、米国では、第3次行動計画前の2013年2月に大統領令13636（重要インフラの改善）が発行され、これをきっかけに、米国の重要インフラ防護は急速に進化しました。我が国の重要インフラ防護の改善に当たっては、こうした米国の先行事例から多くのヒントを得られると考えています」（結城氏）

成熟期に入った重要インフラ防護の改善

　現在の行動計画の考え方、とりわけ安全基準に関しては、開始した当初の2000年当時のWebページ改ざんなどのコンピュータセキュリティから端を発し、変遷を経て現在に至っている。この20年で、サイバーを取り巻く環境は、良い意味でも、悪い意味でも劇的に進化するとともに、分野、組織ごとにサイバー依存度や使い方の差異が拡大した結果、組織のサイバーリスクが大きく変容している。こうした状況を踏まえ、これまで各組織で取り組んでいる重要インフラ防護の仕組みを基本としながら、組織における現在の課題、将来に向けた課題をリスクに即して、組織ごとに最適な改善を行っていくことが必要となる

　脅威動向の変化は速く、重要インフラ固有の大物機器のハードウェア脆弱性管理の必要性、つながることによって発生するシステミックリスク、外部調達に伴うサプライチェーンリスクマネジメント等、変化に柔軟に対応できる能力向上が従来にも増して重要となる。新サービスの展開によるビジネスチャンスのはずが、セキュリティ上の問題で頓挫してしまわないような経営感覚が必要になる。

　また結城氏は、「自助と共助（互助）を促進させる公助、事業者における情報収集を活性化など、情報共有の考え方も重要です。これまでの官主体に加え、民間のISAC連携を踏まえた必要性と重要性の検討など、業界主導での業界横連携の枠組みも必要です。次期重要インフラ行動計画の基本的な方針では、明確にすべき項目を踏まえ、環境の変化、現行動計画の評価・課題、行動計画の位置付けなども考慮して、継続的に改定を進めることが重要になります」と締めくくった。