情報セキュリティコラム

【動画で解説】5分で分かるNISCの行動計画編

5分で分かるNISC重要インフラ行動計画

新しい行動計画の要点をまとめて分かりやすくご案内します。「インフラ企業に防衛義務付け」と報道がありましたが、なぜこういったことが求められているのか、いつから、対象はどこまでか。まずは概要についてご紹介致します。

サイバー攻撃はインフラ事業者に限ったことではありませんから、それ以外の分野の皆様もぜひご参考にしてみて下さい。

今回は3月3日に行われたLIVE配信企画『サイバーセキュリティ対策はコストですか?投資ですか?保険ですか?』の動画をお届けします。


音を出せない環境の方は、文章での解説も用意しましたのでごゆっくりご覧ください。

1. 本日のテーマ紹介

5分で分かるNISC(内閣サイバーセキュリティセンター)の行動計画編と題しましてお話しさせていただきたいと思います。

より詳細な資料に関しましては資料ダウンロードページからご確認いただけます。

インフラ事業者にサイバー防衛が義務付けされるということが新聞で報道されておりました。

その報道と内容、いつからなのかというところにつきまして簡単にご紹介させていただきます。

 

▼よりわかりやすい資料を用意しました。社内勉強にもお役立てください。


5分で分かるNISC重要インフラ行動計画

インフラ事業者、サプライチェーン企業の皆様「サイバーセキュリティの確保は責務」です。知らなきゃマズイ情報が分かりやすい!

最新資料を確認する


 

2. サイバー防衛義務付けの報道が

NISCの行動計画とは

新聞でも「重要インフラ企業にサイバー防衛義務付け、22年度から」という記事が出ているのをご存じの方も多いと思います。

2022年1月27日に「重要インフラの情報セキュリティ対策に関わる第4次行動計画」という改定案が出ております。

そして2022年2月28日、先月末まで意見募集が行われておりました。

正式な第4次行動計画の改定案に関して決定というのはそれ以降のスケジュールとなるかなというように考えております。

この行動計画などを出しているのが先ほど申し上げましたとおりNISC、内閣官房にございます内閣サイバーセキュリティセンターになります。

こちらのNISCの行動計画はNISCを中心として「官民」が一丸となって、お互いがお互いに依存しきるのではなく緊密な連携、官民共通の計画が必要ということで本行動計画が策定されているというふうに聞いております。

 

3. 行動計画改定のポイント

行動計画改定のポイント

行動計画改定のポイントなんですがなかなか外部環境の変化と言いますか・・・

1.脅威が年々高度化・巧妙化しているということ
2.重要インフラ分野ごとに脅威の差異が拡大している

というところがございますね。

そのため、重要インフラ分野全体の今後の脅威の動向ですとかシステム、資産を取り巻く環境の変化に対応できるようにする行動計画になっているというように聞いております。

インフラ事業者というのは指定されておりまして、こちら表示されております14分野になります。

インフラ事業者14種類

 

4. 重要インフラが停止するとどうなる

こういった重要インフラがサイバー攻撃で停止してしまいましたとなると、どうなるか?ということです。

想像するだけでも恐ろしいことになるかと思います。

生活に欠かせないインフラが停止してしまいますと、例えばですね、金融機関、銀行が止まってしまった、という場合にはATMから当然現金を下せません。

なおかつクレジットカード会社のシステムが止まってます、という時にはクレジットカードも使えませんということで、物が買えないというような状況になるかと思います。

当然、食費ですとか光熱費が支払えないという状況になりますし、さらにガスとか水道、電気といったような生活のインフラが止まってしまったりすると、当然日常生活に多大な影響が出てくるというように考えております。

私たちのインフラが停止してしまったら自然災害でも大パニックに陥りますけどもサイバー攻撃・・・何も起きてないのにどうなったんだ突然!というような形で起きてしまうと思います。突然やってくるということでは困ります。

ではそれを防ぐためにはですねどういったことが求められているのでしょうか。

5. 行動計画の基本的な考え方

3つございます。大きな括りにはなりますけども一つ目といたしましてシステム調達、設計および運用の適切な管理というところが重要になるかと思います。

外部からの攻撃のみならず、管理不良が原因で発生するといったものもございますのでこのあたり重要な考え方の一つというように考えております。

行動計画の基本的な考え方1

 

行動計画の基本的な考え方の二つ目としてはサプライチェーン全体を俯瞰することというところがございます。

当然インフラ事業者様一社で全て賄っているところはほぼないと思います。

経済社会活動の相互依存関係が深化しておりますしリスクが高度化、複雑化しているというようなことでサプライチェーン全体を俯瞰することが重要になってきていることから、重要インフラサービスを提供するために必要なサプライチェーン等に関わる事業者の位置付けをしっかりと明確化する必要があるかなというように考えております。

行動計画の基本的な考え方2

 

三つ目といたしまして障害対応体制を抜本的に強化しなさいというところです。

1.経営層からシステム担当者まで各階層の視点を有機的に組み合わせること
2.リスクマネジメントによる事前対応及び危機管理の両面から取り組むこと

といったような2点が大きな項目として挙げられているような状況でございます。

行動計画の基本的な考え方3

6. 対策のポイント

最後にポイントですね。

ポイントといたしまして事業者は対策を取り続けなければいけないというところでございます。

行動計画改定のポイント

これまでシステム担当者だけで対応されることが多かったと思いますけれども、例えばDXデジタルトランスフォーメーションし進展によって組織全体を俯瞰した上でリスクの明確化、対応策の検討など経営層も参加しなければならないようなものも非常に多くなってきているという風に考えられます。

組織内のサイバーセキュリティ体制が適切であることを担保するための方策としてはやはり内部監査、情報セキュリティ監査、システム監査等の各種監査ですね。

あと内部通報ですとか情報会議、CSIRTの設置といったような方策が考えられます。

近年の重要インフラ事故等は管理を適切にすれば防げた類似障害が繰り返し発生しているというように聞いております。

組織全体で考えることが重要になってくるのではないかという風に考えております。

以上ですね、第一部に関しましてはこれにて発表を終わらせていただきたいと思います。

7. いただいた質問への回答

Q1「行動計画について罰則規定など具体的にあるのでしょうか」

第三部の方で詳しくご説明させて頂きたいと思っております。

罰則規定については現場検討段階として「ある」というふうに聞いております。

罰金ですとか取締役などの規定、 NISCの行動計画とは別に経済安全保障推進法案というものの原案にも罰則規定がございます。

第三部のですね『サイバー防衛義務付け経営者が把握することリスト編』にてご紹介させていただこうと思います。

お時間のない方はシー・エル・シーのサイトから資料ダウンロードにてご確認いただければと思います。

Q2「インフラ企業に対しては義務付けという点は理解できるんですけれどもそれ以外の企業に対する状況はいかがでしょうか」

インフラ企業14分野のところについては義務付けにはなりますけども、もちろんサプライチェーンとして関わっている企業様、もしくはその他さらにその先の企業様ですとかそういった部分も対策が必要になるかと思います。

サイバー攻撃はインフラ企業のみがターゲットにされているわけではございません

システム管理者だけに任した管理体制ではなく経営層が組織全体を考えながら作っていくのが重要ではないでしょうか。

 

▼よりわかりやすい資料を用意しました。社内勉強にもお役立てください。


5分で分かるNISC重要インフラ行動計画

インフラ事業者、サプライチェーン企業の皆様「サイバーセキュリティの確保は責務」です。知らなきゃマズイ情報が分かりやすい!

最新資料を確認する


 

PRODUCT

関連情報

  • まずは手軽に簡単に「ゼロトラスト環境に」
    エンドポイントセキュリティ

    「侵入されても発症しない新世代セキュリティ」

    製品を見る
  • PC上の様々なログを収集、脅威分析システムにかけ ホワイトハッカーにて分析・解析するなら

    ゼロトラストEPP+脅威解析システムによる解析+ホワイトハッカーによる分析

    製品を見る
  • AIを使ったNDR(監視/検知)で、
    あらゆるデジタル環境で脅威を
    リアルタイムに検知・可視化する

    「従来の手法で発見できなかったあらゆる脅威を検知」

    製品を見る

ABOUT CLC

シー・エル・シーとは

1980年から培った解決力
システムの最適化を提案するエキスパート

CLCはさまざまな業種のお客様からシステムについてのご相談をいただき、そのつど問題の的確な解決に努力してまいりました。
システムに関する豊富な経験とノウハウを活かした実績が評価され、システムの最適化をご提案するエキスパートとして、お客様から厚い信頼を頂いています。