見出し画像

システム的に重要インフラ及びそのサイバー防衛(CSCの記事)

写真出展:Sergio Cerrato - ItaliaによるPixabayからの画像https://pixabay.com/ja/users/camera-man-16096197/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=5968230

 サイバー空間ソラリウム委員会が2021年6月15日に、重要インフラのサイバー防衛に関する記事を紹介した。内容は、コロニアルパイプラインのサイバー攻撃を受けての重要インフラの定義付けなどに関する提言である。日本にとっても参考になると考えられることから、本記事の一部を紹介することとしたい。

↓リンク先(Protecting the Critical of Critical: What Is Systemically Important Critical Infrastructure?)https://www.lawfareblog.com/protecting-critical-critical-what-systemically-important-critical-infrastructure

 サイバー空間ソラリウム委員会が2021年6月15日に、重要インフラのサイバー防衛に関する記事を紹介した。内容は、コロニアルパイプラインのサイバー攻撃を受けての重要インフラの定義付けなどに関する提言である。日本にとっても参考になると考えられることから、本記事の一部を紹介することとしたい。

↓リンク先(Protecting the Critical of Critical: What Is Systemically Important Critical Infrastructure?)https://www.lawfareblog.com/protecting-critical-critical-what-systemically-important-critical-infrastructure

1.記事の内容について
 ・コロニアルパイプラインのハッキングは重大事件であり、国家にとって基幹的なインフラがサイバー攻撃により停止しうることを示した。これら「重要インフラ」のサイバー攻撃については、国土安全保障省のCISAに報告することとされているが、FBIが操作に介入するまでコロニアルパイプラインは報告しなかった。
 ・この事件は、政府が「重要インフラ」を防衛するための手立てがないことを示している。ただ、「重要インフラ」という用語はあまりに拡大解釈されるようになっており、何が重要インフラなのかが分からなくなっていることも影響している。結果として、政府は重大なサイバーインシデントの一部しか見ないようになっている。
 ・CSCは、法律にて「システム的に重要かつ必要不可欠なインフラ(SICI)」の概念を条文化するよう提言してきた。つまり「重要の中の重要」を抽出し、連邦政府による支援とインフラ管理者のセキュリティ対策及び責任を明確化することである。
 この概念の嚆矢となったのが、2013年2月の大統領令13636の第9編であり、当時から重要の中の重要施設とサイバー攻撃の可能性を意識した内容となっていた。当時の国土安全保障長官の報告書における、重要の中の重要インフラは、以下のとおりである。
 ① (その障害が)大きな災害や大規模な避難の要因となるエネルギー供給、水道、電力、緊急サービスなどの重要サービス
 ② (その障害が)金融市場の混乱、輸送システムの混乱、重要テクノロジーサービスの停止など、アメリカの経済に破滅的な損害を与えるもの
 ③ 防衛、航空機、軍、インテリジェンス及びセキュリティ能力の悪化・混乱
 ④ サイバー生態系における技術、装置、サービスの広範囲に及ぶ感染もしくは悪意ある侵入
・ただこの大統領令は、システムや設備ではなく、企業に特化した内容となっており、更にIT企業も除外されているなど、実態にそぐわない部分がある。また厳格さも欠けており、重要インフラとして指定された企業に利益を与えておらず、政府の安全性を担保することもない。従って、指定された企業やインフラに対する「利益」と「負担」を明確にするよう、改善する必要がある。
・具体的には、以下の4つの「利益」と「負担」を盛り込むべきである。
 ① パフォーマンス基準
国土安全保障省は、米国標準技術研究所、SICIの所有者及び創業者、他の重要政府機関と連携し、リスクベースでのサイバーセキュリティ「パフォーマンス基準」を抽出し、策定する。この基準が基本となり、企業の誠意ある取り組みを担保することになる。
 
 ② サイバーインシデントの報告
   SICIの法制化により、サイバーインシデントの報告が義務付けられることになる。SICIの所有者及び創業者が感染を覚知した場合、国土安全保障省に報告することとなるが、その見返りに連保政府の支援を求めることができるようになる。
 
 ③ インテリジェンスの共有
   国家情報長官は、脅威に関する情報をSICIの所有者及び創業者に提供する。緊密な連携により、統一的な対策が可能となる。

 ④ 免責条項
   政府の犠牲を実践し、インテリジェンスの支援を受けている場合、サイバー攻撃により生じた損害について、訴訟などの責任を免責される。これは性善説に基づいた条項であり、故意過失があった場合には適用されない。

 ・ コロニアルパイプラインの事件は、インテリジェンスの共有における課題を示している。インテリジェンス業界が各企業の事業の性格を把握しておらず、各企業に合致した情報を提供することができない。この情報格差を埋める際にも、SICI法制は有効である。まずインテリジェンス業界に前向きな情報提供の義務を課すと共に、国家情報長官及び国土安全保障省が各部門の情報格差や共通のビジネス慣習、共通の技術やサービス、相互依存関係を取りまとめることを義務化する。
 ・ また、重要インフラのサイバーセキュリティに関する共通の評価基準の策定にも資することになる。現在様々なサイバーセキュリティ要件があるが、一貫したものとはなっていない。このため、SICI法制により、各民間部門で共通した最重要項目に特化した評価基準を作成する義務を課すべきである。個別具体の基準の作成については、国土安全保障省と関連する省庁等と連携することで十分対処可能である。
 ・ 上記の対策により、企業には短期的なコストが課されるものの、SICIの関連組織は利益を享受することもでき、長期的なサイバーセキュリティの強化も期待することができる。また、何より重要なのは官民の信頼関係である。「利益」と「負担」を明確化し、正しい行動に対してインセンティブが与えられるようにすることで、信頼関係が醸成されることになる。

2.本記事についての感想
  重要インフラの定義は非常に難しい。何が該当し、何が該当しないのか。政府に任せていると、全て縦割りの機械的な分類がなされるのみであり、所管省庁も縦割りのままとなるだろう。
  従って、ここは政治決断が必要になる。ダムの運用については、洪水などの対策用のものだけでなく、発電用、農業用水用のものについてもその所管省庁を問わず、洪水対策時に洪水調節のためその貯水量について国交省が一元的に運用することが可能な状況となっており、このような優良事例を他の分野にも広げていくことが重要だろう。
 インフラ管理についてデジタル庁に期待するのは困難であることから、経産省と国交省が中心となってまとめるべきだろう。また、水道に関してもスマート管理が主流になると考えられることから、地方自治体に対しても支援ができるような体制を構築するべきだろう。日本の国柄からすると、防災対策の取り組みを拡大していく方が受け入れられやすいのではないだろうか。すでにある消防団や自主防災組織に連絡窓口としての役割を果たしてもらうというのも案の一つである。
 アメリカの政策をまねることも可能であるが、日本にはやや合わないように思われる。他国と比較して劣等感にさいなまれることも多いが、ただ倣えばいいというわけでもない。日本には日本式のやり方がある。サイバー防衛の強化はインフラだけでなく文化的側面も重要であることから、英知を結集して最善の強化を図るよう、日本人の奮起を期待したい。

 英文を読んでわからないという方は、メールにて解説情報をご提供させていただきます。なにぶん素人の理解ですので、一部ご期待に沿えないかもしれませんので、その場合はご容赦願います。当方から提供した情報については、以下の条件を守ったうえで、ご利用いただきますようよろしくお願いいたします。

(1) 営利目的で利用しないこと。
(2) 個人の学習などの目的の範囲で利用し、集団での学習などで配布しないこと。
(3) 一部であっても不特定多数の者が閲覧可能な場所で掲載・公開する場合には、出典を明示すること。(リンク先及び提供者のサイト名)
(4) 著作元から著作権侵害という指摘があった場合、削除すること。
(5) 当方から提供した情報を用いて行う一切の行為(情報を編集・加工等した情報を利用することを含む。)について何ら責任を負わない。

 

いいなと思ったら応援しよう!