政府のサイバーセキュリティ戦略本部は、重要インフラをサイバー攻撃から守るための新たな指針となる「重要インフラのサイバーセキュリティ対策のための統一基準(重要インフラ統一基準)」(案)を公表しました。国家サイバー統括室(NCO)は重要インフラ統一基準案に対するパブリックコメントを5月17日まで受け付けています。決定した重要インフラ統一基準は10月1日に施行され、技術や脅威の動向などの環境変化に合わせ、原則として3年に1度見直される方針です。
深刻化するサイバー脅威に対し、国民生活と経済活動の基盤である重要インフラの防護を強化することを目的に重要インフラ統一基準案は策定されました。各分野・各事業者間でばらつきのあったサイバーセキュリティ対策の水準を底上げするため、重要インフラ分野全体における共通の評価基準・指針を政府が定めました。
重要インフラ統一基準案は3部構成です。第1部総則では、重要インフラ統一基準の目的や適用範囲を示しています。対象となる重要インフラは、情報通信、金融、電力、ガス、医療、行政サービス、郵便など全16分野です。第2部政府機関における施策の基準では、政府機関が具体的に取り組むべき施策として、実施計画の策定▽事業者の対策状況の把握・分析▽サイバーセキュリティ戦略本部による評価・改善――という一連のPDCAプロセスが示されました。
第3部安全基準等において規定されるべき事項では、重要インフラ事業者等が分野や事業者の枠を超えて横断的に講ずべき対策事項を規定しています。重要インフラ所管省庁や業界団体などが策定・改訂する安全基準等において、必ず盛り込むべき対策の大枠や基準を規定しています。
例えば、従来の「閉域網だから安全」といった過信は、サイバー攻撃の被害に遭う危険性が高まるとして、認識を改めるよう記されました。その上で被害の未然防止だけでなく、障害発生時の影響を抑える「レジリエンス」の観点から、「組織統治」「識別」「防御」「検知」「対応および復旧」の各段階における対策が網羅されました。
今後の主なスケジュールとしては、まず今年夏頃に、国家サイバー統括室(NCO)が第3部の具体的な詳細事項を記載した「重要インフラのサイバーセキュリティに係る安全基準等策定ガイドライン」(安全基準等策定ガイドライン)を策定します。所管省庁や業界団体が実際に安全基準を策定する際に参照するガイドラインとなります。その後、10月1日に重要インフラ統一基準が施行され、来年(2027年)春~夏頃にかけて、各政府機関が重要インフラ統一基準に基づく具体的な「実施計画」を策定していく予定です。
