サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

「重要インフラの情報セキュリティ対策に係る第三次行動計画」の見直し



まず、この長い名前の計画書、ご存じない方も多いかも知れません。

これは、自然災害やサイバー攻撃に等によるIT障害が、国民生活や社会経済活動に重大な影響を及ぼす事業者を「重要インフラ事業者」と位置付け、その防護を目指したものです。(ANAのシステム障害などは、記憶に新しいところですね。)

重要インフラ事業者

この「重要インフラ事業者」には、下記13の分野が現在指定されています。

重要インフラ13分野

  1. 情報通信
  2. 金融
  3. 航空
  4. 鉄道
  5. 電力
  6. ガス
  7. 政府・行政サービス
  8. 医療
  9. 水道
  10. 物流
  11. 化学
  12. クレジット
  13. 石油

確かに、この分野にサイバーテロが行われたとしたら、我々の生活に多大な影響が出ます。だからこそ、既に2000年からこの分野には、政府よりサイバーテロへの対策指示が出ています。

ですが、果たしてこの分野に対策指示を出すだけで良いのでしょうか。教育大手B社の情報漏洩が子会社からの、しかも再委託先社員によるものであったり、クラウドグループウェアSのデータをレンタルサーバ業者が消してしまったり、と、今や一事業主体のみで情報管理が完結する事は少ないでしょう。

「重要インフラ事業者」だけが対策をしても、その先も含めたサプライチェーンまで意識して対策を立てないと、穴だらけになってしまいます。

政府としての姿勢

重要インフラの外部サービス(既存の重要インフラ事業者等でない外部委託先等の周辺事業者等が提供するサービス)への依存等実態を踏まえ、サプライチェーン全体にセキュリティ関連の情報共有等の取組を拡充していく。

「重要インフラの情報セキュリティ対策に係る第三次行動計画の見直しに向けたロードマップ」
平成28年3月31日サイバーセキュリティ戦略本部第7回会合資料より引用

政府では、上記の様に取り組みの拡充を目指しています。この見直しは、平成29年3月末までに実施される予定です。

サプライチェーンマネジメントの判断基準

さて、ではここで現在の「重要インフラ事業者」の立場になって考えてみましょう。

あと1年もしないうちに、政府の指示が見直され、サプライチェーンの末端がサイバーテロに遭ったとしても、自分たちの管理責任が問われることになってきます。

しかし、情報セキュリティに於いて“100%大丈夫”なんてことはありませんよね。それでも何かあれば自分たちのせいになる。何らかの方法で客観的に“ここに委託しても大丈夫だと思った”と言い訳できるようにしておかないと、全部自分たちが悪いことになります。それじゃイヤですよね。

そこで出てくるのが「サイバーセキュリティ経営ガイドライン」です。国が出しているガイドラインですから、一つの目安になります。

サイバーセキュリティ経営ガイドライン

“サイバーセキュリティ経営ガイドラインに準拠した体制だったので、この会社に委託した”と言えれば、重要インフラ事業者の担当者も安心なのではないでしょうか。国の基準なのですから、社会的に文句言われることも少ないでしょう。

この「重要インフラ事業者」13分野からの仕事を受けている企業は、平成29年3月以降、サイバーセキュリティ経営ガイドラインへの準拠を求められることになるでしょう。残り1年もありません。中小規模事業者の多くは自力でこのガイドラインへの準拠を成し遂げることも大変です。マイナンバー導入に続き、頭の痛い取組が続きます。

次回は中小規模事業者にサイバーセキュリティ対策を指導・展開するための制度、「情報処理安全確保支援士制度」について解説します。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。