政府は2021年11月に可決された「サイバーセキュリティー基本法」に基づき、2022年度中に情報通信や電力、鉄道など14分野の重要インフラ事業者にサイバー攻撃への備えを義務付けました。
ここでは、これまであった重要インフラのサイバー攻撃の事例や政府が義務付けた企業への対処計画についてみていきます。
重要インフラに対するサイバー攻撃
重要インフラには、「情報通信」「金融」「航空」「空港」「鉄道」「電力」「ガス」「政府・行政サービス」「医療」「水道」「物流」「化学」「クレジット」「石油」の14分野があり、これらのサービスの提供が停止すると、社会、経済に大きな影響があります。
近年、これらの重要インフラに対するサイバー攻撃の報告が増えています。
原因としては、重要インフラにおいてシステムメンテナンスの効率化やコスト低減のために導入されたICTの活用にあります。それらが攻撃の入口となり、マルウェア感染を伴って制御システムへと侵入されています。
国外・海外での重要インフラへのサイバー攻撃事例
重要インフラを狙った主なサイバー攻撃の事例としては下記のようなものがあります。
- 2015年5月
日本年金機構の端末がマルウェアに感染。年金加入者の個人情報約125万件が流出。 - 2015年12月
ウクライナの電力会社のシステムがマルウェアに感染し、大規模停電が発生。 - 2021年2月
アメリカ・フロリダ州の水道システムに悪意のある攻撃者が侵入。水酸化ナトリウム濃度の設定が通常の100倍に。 - 2021年5月
アメリカ最大級の石油パイプラインが攻撃を受け、一時操業停止。 - 2021年10月
徳島県の町立病院に攻撃。電子カルテが閲覧できなくなり、新規患者の受け入れを停止。
重要インフラ事業者の経営層に求められる施策
政府はこれらの重要インフラ事業者に対してサイバー攻撃への備えを義務付け、経営陣主導の体制整備や対処計画づくりを求めています。
具体的には下記のような項目です
- 情報セキュリティの確保は経営層が果たすべき責任であり、経営者自らがリーダーシップを発揮し、機能保証の観点から情報セキュリティ対策に取り組むこと。
- 自社の取組が社会全体の発展にも寄与することを認識し、サプライチェーン(ビジネスパートナーや子会社、関連会社)を含めた情報セキュリティ対策に取り組むこと。
- 情報セキュリティに関してステークホルダーの信頼・安心感を醸成する観点から、平時における情報セキュリティ対策に対する姿勢やインシデント発生時の対応に関する情報の開示等に取り組むこと。
- 上記の各取組に必要な予算・体制・人材等の経営資源を継続的に確保し、リスクベースの考え方により適切に配分すること。
政府は重要インフラ事業者の経営責任を明確化するため、情報漏えいなどによる損害の発生で会社法上の賠償責任を問われる可能性があると示し、事業者の防護体制強化を促す狙いがあります。
まとめ
サイバーセキュリティ対策に関して政府から要請や義務付けが来るのは現段階では重要インフラ事業者のみになります。
しかし、テレワークも進み、サイバー攻撃が急増する昨今においてサイバーセキュリティはすべての企業が喫緊の課題となります。「情報システム部門やエンジニアだけでなく、経営層が主体となって対策を推進してほしい。」というのが政府の意向です。
今後発生しうるサイバー攻撃に対し、その対策を考える上では、まずは現状について客観的に理解を行うことが大前提となります。当社が提供する「P-SS 情報セキュリティ評価サービス」は、「CISSP」など高度な資格を持つセキュリティ人材が第三者視点を持って貴社のサイバーリスクの現状を評価し、今後発生しうる事象/インシデントへの備えとして、その対策までをご支援するサービスです。
お困りごとなどございましたらお気軽にお問合せください。
