Cisco Japan Blog

経済安全保障 – 新制度「基幹インフラ役務の安定的な提供の確保に関する制度」に関するセキュリティとの関係性

1 min read



この記事は、JNSA – 特定非営利活動法人日本ネットワーク・セキュリティ協会 (NPO Japan Network Security Association) 様に許可をいだき、JNSA メールマガジンのリレーコラムの寄稿記事を元に Cisco Japan Blog で再掲させていただきました。

経済安全保障 ―新制度「基幹インフラ役務の安定的な提供の確保に関する制度」に関するセキュリティとの関係性

 

経済安全保障 ―新制度「基幹インフラ役務の安定的な提供の確保に関する制度」に関するセキュリティとの関係性

シスコシステムズ合同会社
セキュリティ事業 アーキテクト/エバンジェリスト
JNSA 幹事 木村 滋

 

◯「経済安全保障と経済安全保障推進法」
近年の世界経済、日本を取り巻く近接国との地政学の著しい変化が背景となり、特にここ数年で日本の経済安全保障に関する政策が大きく進展してきました。
「経済安全保障」とは国家が経済的な手段を用いて政治的目標を達成する、経済的手段によって安全保障を確保する、と定義されます。このための枠組みとして、2022 年 5 月第 208 回通常国会にて、「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律案」通称:経済安全保障推進法が成立しました。

 

◯「経済安全保障推進法枠組みと基幹インフラ事業者向け事前審査制度」
経済安全保障推進法は4つの制度の柱から構成されます。(1) サプライチェーンの強靭化、(2)民間技術協力に関しては、国からの支援、(3)特許出願の非公開、そして民間のセキュリティに携わる方に密接に関連すると思われる (4)「特定社会基盤役務の安定的な提供の確保」という基幹インフラ事業者向け新規導入設備に対する事前審査制度については、新しい規制に関する法制度と言えます。

 

◯「基幹インフラ事業者向け事前審査制度とセキュリティ」
2023 年 11 月に、日本の基幹インフラを提供する 14 分野の業種の中から、211 の事業者が「特定社会基盤事業者」として、その審査対象となる設備である、「特定重要設備」、「特定重要維持管理」、「構成設備」とともに、各所轄監督省庁から公示されました。この審査制度は 2024 年 5 月 17 日から運用が開始されます。
これらの事業者が提供する役務はいずれも日本国家、国民の安全に直結する事業であり、事業者の提供役務に対し、諸外国からサイバー攻撃を含む特定妨害行為に事前に防止する手段として義務付けることが目的となります。

経済安全保障推進法は経済安全保障の一部である、またサイバーセキュリティ、IT セキュリティは推進法全体の一部である、ということを理解する必要があります。

基幹インフラ事業者は導入等計画書、システム概要、システム内容、時期、構成設備供給者に関する情報として主務省令で定義される情報等を所轄大臣に提出し、およそ 30 日の審査を受ける必要があります。
主にサイバー攻撃を含む妨害行為からのリスク措置として提出が求められるチェック項目を以下にまとめます。

①製品のコード混入防止、検証体制、脆弱性テスト
②セキュリティパッチ、不正プログラム対策、脆弱性対応
③製品開発工程、品質管理、体制
④製品開発の不正変更に対する定期的確認体制
⑤設備開発時の物理アクセス制限、物理設備
⑥不正アクセス対策の仕組みの実装
⑦不正な変更の防止体制
⑧設備への不正変更防止、立入検査協力
⑨サービス保証、故障対応、脆弱性対応
⑩故障対応、脆弱性対応の代替策
⑪感染時の事業継続体制、バックアップ、手順化
⑫インシデント発生時の対応マニュアル、CSIRT、SOC
⑬不正アクセス監視の仕組みの実装

① ③ ④ ⑤ は、対象設備に含まれる製品に求められる品質、安全性、サプライチェーンに関するリスク管理、② ⑥ ⑬ は、対象設備に対して求められるサイバーセキュリティ対策、⑦ 〜 ⑫ は事業者側のリスク軽減のための組織体制、事業継続体制、ポリシー、文書、設備、供給者との契約等、となります。

 

◯「経済安全保障推進法とセキュリティ従事者の役割」
この審査制度の対象となる事業者は限定されており、直近では指定事業者のシステム構築、設備供給、運用に携わる企業関係者に関係性が限定されるものかもしれません。ただし、この制度は今後の新しい社会、経済安全保障時代下のリファレンス、規範になり得ます。日本全体の社会や組織に対して強靭化に取り組むべきテーマであり、リスク管理、サイバーセキュリティに従事される方は、この新しい制度を理解し、社内・社外・お客様とこの議論を継続していくことに意味があると考えます。

 

◯「最後に」
とは言え、この制度のサポートに関わる方々はこれまで以上の対応や問い合わせ、繰り返しのリクエストに応えるため追加の業務が発生するかもしれません。この法制度によって事業者のビジネスにブレーキをかけさせることは国としても不本意なことであると考えています。今後制度対応の効率化のために関係者でナレッジを共有し、継続的な改善とインプットができればと思います。

https://www.cao.go.jp/keizai_anzen_hosho/index.html

 

リファレンス
[1] 「変化する経済安全保障環境と企業のリスク管理」東京海上ディーアール 川口貴久様

 

コメントを書く