名古屋港のサイバー攻撃事案を踏まえた対策を反映、港湾分野における情報セキュリティ確保に係る安全ガイドラインの第2版を公表 国交省
国土交通省は3月28日、「港湾分野における情報セキュリティ確保に係る安全ガイドライン」の第2版を公表しました。名古屋港のコンテナターミナルで2023年7月にシステム障害を引き起こしたサイバー攻撃事案を踏まえて2024年1月に取りまとめられた提言を盛り込みました。
サイバーセキュリティ基本法において2024年3月、港湾分野は重要インフラ分野に位置づけられ、「港湾分野における情報セキュリティ確保に係る安全ガイドライン」の第1版が同年4月に公表されました。「重要インフラのサイバーセキュリティに係る行動計画」では「安全基準等」を整備し浸透を図ることとされています。今般改定されたガイドラインはこの「安全基準等」に該当し、関係法令に準じて国が定める「推奨基準」および「ガイドライン」に対応するものです。
国土交通省では2023年7月の名古屋港におけるサイバー攻撃事案を踏まえ被害発生後すぐに「コンテナターミナルにおける情報セキュリティ対策等検討委員会」を設置、事案の検証を行うとともに、コンテナターミナルを運営するに必要な情報セキュリティ対策、サイバーセキュリティ政策および経済安全保障政策における港湾の位置づけなどを整理・検討し、2024年1月には取りまとめを発表しました。
第2版はこの取りまとめで示された対応策と港湾管理者向けの内容、サイバー攻撃を受けた際に港湾管理者や港湾運営会社などに求められる対応内容などが盛り込まれました。また、文書構成についても見直されました。
具体的には、読み手ごとに分冊化し、本編は「導入編」のあとに、「経営者層編」「セキュリティ責任者編」「システム構築・運用者編」「港湾管理者等編」に分ける構成となりました。読み手ごとに分かれた文書は、港湾BCPなどと同じく、フェーズ(事前準備・平時対策・インシデント発生時および事後対応)に沿って対策項目が記載されています。
記述のスタイルも変更されました。事業者に求める対策事項を「事業者に求めること」として枠で囲み、その対策の必要性や考え方を「解説」として記しました。また対策は具体例を示すこととし、例えば港湾管理者編では名古屋港や東京港などの取り組み事例が記されています。
さらに、対策を実施するためのツールとして付属資料が用意されました。①背景説明資料②チェックリスト③Q&A集④用語集⑤参考文献⑥事案事例集の6点となる予定で、既に①、④、⑤、⑥が公開されています(4月7日現在)。
