また、サイバー攻撃を想定しインシデント対処能力向上を目的とした演習・訓練も、重要インフラ事業者等を対象に、官民連携という形態により、毎年行う。2006年以来、昨年度(平成29年度)で12回目を迎え、過去最大の2600人以上が参加する大きなイベントになっている。関係者が東京・大阪・福岡の会場又は各々の職場において演習に参加し、実践的な事象シナリオの下、事象の報告やその対策を打ち出して情報伝達し合う。その結果を振り返り、その対策が適切であったか、情報伝達に滞りがなかったかを検証し、今後のインシデント対応の改善に活かす。「WEB会議システムなどを使って自職場からの参加も可能で、日頃から経営層の方にも、セキュリティ意識を持って頂けるよう働きかけているので、経営層の参加も含めて、この演習が良い機会になればと思っている。」と宮崎氏は手応えを話す。

他方、こうした分野を横断した情報共有や演習訓練が増えるにしたがい、新たに開発されたのが「深刻度評価基準」だ。ある事象によるサービス障害が国民社会への影響としてどれだけ深刻か、NISCが統一のものさしで5段階評価するしくみ。今年4月に試案がパブリックコメントにかけられるなど、策定に向けた取り組みが進められている。「将来的には事案が発生した段階で、天気予報のように国民社会への影響の予測的評価を行えることが理想」という。

「深刻度評価基準」案。パブコメを終え、7月上旬に正式版を公開予定(資料提供:NISC)

「サイバーセキュリティ協議会」の創設


サイバーセキュリティ政策において、今年もう一つの大きな転換点になるのが、「サイバーセキュリティ基本法」の改正だ。すでに改正案が3月に閣議決定しており、今国会に提出されている。

新たな法改正の柱となるのが「サイバーセキュリティ協議会」の創設だ。国の行政機関・地方公共団体・民間の重要インフラ事業者、セキュリティ事業者、システム事業者・教育研究機関、有識者などでつくる。構成員には罰則のある秘密保持のほか、積極的な情報提供の協力が求められ、事務局として連絡調整に知見のある専門機関が入ることで、国内のインシデント事象への迅速な対応、サイバー攻撃による被害の拡大防止が可能となる。

最後に、重要インフラ分野におけるセキュリティ人材の確保・育成の課題は、通常のIT系以上に厳しい。そうした中、「2020年東京オリンピック・パラリンピック競技大会の成功に向けて、そして大会後においても、サイバー攻撃に対し、強固な重要インフラであるように、多くの関係者と共に、引き続き、取り組んで参りたい」(宮崎氏)。

 

■ 「重要インフラの情報セキュリティ対策に係る第4次行動計画」
https://www.nisc.go.jp/active/infra/pdf/infra_rt4.pdf

■「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版)」
https://www.nisc.go.jp/active/infra/pdf/pubcom_shishin5.pdf

■ 「重要インフラにおける機能保証の考え方に基づくリスクアセスメント手引書」
https://www.nisc.go.jp/active/infra/pdf/pubcom_tebikisho.pdf
 

(了)