政府指定の重要インフラ、港湾分野における情報セキュリティ確保に係る安全ガイドライン「第3版」を公表 国交省
国土交通省は5月13日、港湾におけるサイバーセキュリティ対策の強化を目的とした「港湾分野における情報セキュリティ確保に係る安全ガイドライン」の第3版を公表しました。港湾分野は「重要インフラ」分野に指定されています。第3版は、2025年3月から運用が始まった「セキュリティ要件適合性評価及びラベリング制度(JC-STAR)」などを踏まえて改定されました。
ガイドラインは、コンテナターミナルにおけるターミナルオペレーションシステム(TOS)などを主な保護対象としています。対象者は、重要インフラ事業者(港湾運送事業者等)や港湾管理者など。サイバー攻撃だけでなく、内部犯行や過失、自然災害を含むシステム障害などを想定し、事業継続のためのセキュリティ対策をまとめています。
サイバーセキュリティ基本法に基づく「重要インフラのサイバーセキュリティに係る行動計画」において2024年3月、港湾分野が新たに重要インフラ分野に位置づけられました(※1)。ガイドラインは同法に準じ、国が定める「ガイドライン」として事業者に「推奨事項」を提示する位置づけとなっています。ただし、事業計画においてセキュリティ確保事項を記載することなどは、港湾運送事業法に基づく義務となっており、確実な法令遵守が求められます。
ガイドラインでは、「任務保証」に主眼が置かれています。これは、セキュリティ対策そのものを目的化するのではなく、自らが遂行すべき業務やサービスを「任務」と捉え、その安全かつ持続的な提供に対する責任を全うするという考え方です。また、「サイバーセキュリティは全員参加(Cybersecurity for All)」という認識のもと、従来の境界型防御に限界があることを前提とした「ゼロトラスト」の考え方も取り入れられています。
具体的には、事業者に対して主に、ネットワークの分離▽アクセス制御▽バックアップ▽インシデント対応体制・手順の整備――の4点の実施を求めています。なお、文書は「導入編」のほか、「経営者層編」「セキュリティ責任者編」「システム構築・運用者編」「港湾管理者等編」と読み手ごとに分冊化されています。各編では、事前準備・平時対策・インシデント発生時および事後対応のフェーズに沿って、実施すべき項目が「事業者に求めること」として枠囲みで明記され、その背景となる「解説」や「具体例」も同時に示されています。
第3版の改定では、インターネットと通信するIoT製品のセキュリティ機能を共通の物差しで評価・可視化する制度である「JC-STAR」への対応が追記されました。港湾分野においても重要システムにIoT機器を調達する際はこの制度を選定基準に含めるなどして、必要なセキュリティ機能が実装されていることを要求する旨が追記されました。
また、ガイドラインはサプライチェーン・リスクへの対応も重視しています。委託先の管理体制の可視化や第三者による評価検証結果の活用を推奨しているほか、法制度や実施体制が不十分な「カントリーリスク」が高い国が関連する場合には、「経済安全保障推進法」を参照して対応するよう明記されています。あわせて発注側の組織には、独占禁止法や取適法(※2)を考慮し、委託先と適切なパートナーシップ体制を構築することが求められています。
※1 経済安全保障推進法においては、TOSを使用する港湾運送事業は「基幹インフラ事業者」に指定されています。
※2 「製造委託等に係る中小受託事業者に対する代金の支払の遅延等の防止に関する法律」(中小受託取引適正化法)のこと。2025年12月31日までは「下請代金支払遅延等防止法(下請法)」。
