内閣サイバーセキュリティセンター（NISC）は7月6日、「重要インフラのサイバーセキュリティに係る安全基準等策定指針」（以下、安全基準等策定指針）と、その参考となる文書「重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書」を決定し公開しました。安全基準等策定指針は「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針」を改定したものであり、両文書とも4月25日から5月23日まで意見公募を実施していました。両文書に対して13件の意見が寄せられました。

安全基準等対策指針はサイバーセキュリティの確保に向けた取り組みを整理したもので、重要インフラ分野の対象事業者は記載事項を規定することが望ましいものです。経営層がサイバーセキュリティリスクを管理する体制や委託先との契約を通じて実効性が伴うサプライチェーンリスク対策を強化することなどが盛り込まれています。

一方、手引書は安全基準等策定指針で示した取り組みのうち、「4. リスクマネジメントの活用と危機管理」におけるリスクマネジメントの主要なプロセスと、「5. 対策項目」における主なセキュリティ対策について記載されています。NISCの「機能保証のためのリスクアセスメント・ガイドライン」やNIST（米国国立標準技術研究所）の「重要インフラのサイバーセキュリティフレームワーク」、ISO27001を踏まえて構成されています。自然災害やサイバー攻撃などに起因する障害から認識されるリスクを想定し、対象読者はサイバーセキュリティ部門の担当者や戦略マネジメント層となっています。