「重要インフラにおける情報セキュリティ確保」対策指針第5版について|サイバーセキュリティ.com

「重要インフラにおける情報セキュリティ確保」対策指針第5版について



2018年4月4日、平成30年度最初のサイバーセキュリティ戦略本部が開催されました。今回の会議のメインは、重要インフラ関係の対策指針改版と次期サイバーセキュリティ戦略骨子です。

本日のコラムでは、重要インフラの対策指針とその関連文書について触れて行きたいと思います。

重要インフラにおける情報セキュリティ確保に係る安全基準等対策指針

長い名称ですが、今回の対策指針は第5版となります。ページ数も3倍になり、より参考にしやすくなっています。

参照重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版)/サイバーセキュリティ本部(PDF)

今回の変更では、下記注目点が挙げられます。

  • 最近の動向も踏まえた具体的な項目が増えたこと
  • ISMSだけでなく、NISRやCSMSも参考としていること

“規格に当てはまれば良い”というわけではなく、より実効を求めている姿勢の表れでしょう。また「経営層の関わり」が強調されています。このあたりは、今までもベースになっているサイバーセキュリティ経営ガイドラインとの一致が進んでいます。

重要インフラにおける機能保証の考え方に基づくリスクアセスメント手引書

今回発表の資料で、最も参考になるのはこれでしょう。

参照重要インフラにおける機能保証の考え方に基づくリスクアセスメント手引書/NISC

この手引書は、組織における情報セキュリティ体制の構築解説としては、ISMSユーザーズガイドより簡潔で分かりやすい内容に思えます。もし、形式だけのISMSやプライバシーマークに悩んでいる企業があれば、考え方を整理するのに参考になるかも知れません。

特に「図表1 本手引書の記載範囲」の「4.リスクアセスメントの対象の特定」は、ISMSやプライバシーマークを取得していても、上手くできていないケースをよく見かけますので、自社が情報セキュリティに対して“これで良いのか?”と考える方は是非チェックしていただきたく思います。

参考資料が充実している

サイバーセキュリティ経営ガイドライン等でも、参考資料が充実してきましたが、この手引書でも使い勝手のある資料が付いています。

別紙2 結果を生じ得る事象(脅威)の例

予め想定しておくべき攻撃や、障害等が挙げられています。これは、企業の規模を問わず活用し得る内容でしょう。ただ、注意しておくべきなのは、あくまで「現在の」脅威だということです。これを参考にしつつ、今後新たに出てくる脅威にも予断なく情報を収集しておく必要があります。

別紙4 リスク源の例

どのようなリスクが脅威を発生させるか、紐づけをしています。これは経営層に「この対策をしないと、どういうことが起こり得るか」を説明するのに打ってつけですね。

例えば、不正検知検知システムの導入を提案するなら、「導入しないと、標的型攻撃やサービス妨害等を受けた時、発見が遅れて被害が拡大します。政府発表の手引書にも書いてあります」と言えるわけです。

完全では無いにしても、公的な組織から「技術的にこれはやっておくべき」という資料が出てくると、現場としてはありがたいですね。

重要インフラ事業者との取引がある企業は

今回の資料は、重要インフラ事業者向けの指針や手引書です。全て対応するには中小企業には重荷かも知れませんが、十分参考になるものなので是非活用しましょう。

ただし、重要インフラ事業者から仕事を受けている企業は、業務内容によっては全て対応する必要がありますので要注意。サプライチェーンマネジメントや機能保証の話があるからです。

早めに重要インフラ事業者と連絡を取り、どんな対策が必要か擦り合わせを行いましょう。このコラムで何度も書きましたが、タイムリミットは「東京オリンピック・パラリンピック」です。期限が迫っていることを十分認識してください。


SNSでもご購読できます。