本連載は、日経産業新聞(2023年8月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
サイバー攻撃の現状と各国で進む規制・ガイドラインの整備
サイバー攻撃の脅威が増しています。通信、物流など重要インフラが機能停止に陥れば、国民の生活、経済活動、国家の安全保障にも壊滅的な打撃となりかねず、各国や企業が対策強化を急いでいます。
2023年3月、米バイデン政権は「国家サイバーセキュリティ戦略」を公表しました。そのなかで「重要インフラを構成するシステムや資産の防衛は、国家の安全保障、公共の安全、経済の繁栄にとって不可欠」と指摘、重要インフラ防衛を柱の1つに掲げています。
米国では近年、重要インフラに対するサイバー攻撃が増えています。米政権は「サイバーセキュリティ強化の大統領令」「重要インフラ制御システムのサイバーセキュリティ向上に関する覚書」を矢継ぎ早に公表するなど、重要インフラのセキュリティ対策の取組みを強化してきました。
日本でも、サイバー攻撃の例はすでに報告されており、国家の安全保障、公共の安全、経済の繁栄のため、サイバー攻撃から重要インフラを保護することは喫緊の課題と言えます。
こうした状況を背景に、内閣サイバーセキュリティセンター(NISC)は2023年7月、「重要インフラのサイバーセキュリティに係る安全基準等策定指針」を公表しました。指針は「各重要インフラ分野に共通して求められるサイバーセキュリティの確保に向けた取組を整理・記載する」とし、重要インフラ分野ごとの特性に応じた対応については、指針を基に所管省庁や関連業界団体などが基準やガイドラインを策定・見直すよう求めています。
NISCが2022年に改定した「重要インフラのサイバーセキュリティに係る行動計画」では、重要インフラ分野として、金融や鉄道、電力、ガスなどの14分野を指定しています。
【重要インフラ14分野】
|
14分野では「航空分野における情報セキュリティ確保に係る安全ガイドライン」(国土交通省)、「医療情報システムの安全管理に関するガイドライン」(厚生労働省)などが策定されています。
企業や組織が置かれている状況や事業の特性によってサイバーセキュリティで留意すべき点は異なります。このため、国際団体による「医療機器のサイバーセキュリティの確保に関するガイダンス」、デジタル製品のサイバーセキュリティ要件を規定する欧州連合(EU)の「サイバーレジリエンス法」、半導体業界による「半導体セキュリティ規格」など、重要インフラ分野に限らず、さまざまな規制・ガイドラインの整備が国内外で進行中です。
本連載では10回にわたり、サイバーセキュリティ関連の規制やガイドラインについて、業界やテーマごとに概要や特に注意すべきポイントについて解説していきます。
日経産業新聞 2023年8月15日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
パートナー 澤田 智輝
