経済安全保障推進法における基幹インフラの安定性確保とOTセキュリティ

  • 2024-03-26

経済安全保障推進法に基づく「基幹インフラの安定的な提供の確保に関する制度」の運用開始が迫っています。本稿では、法律や制度の概要、制度で求められる対応について解説します。また、対応にあたって参考となるOTセキュリティの国際標準「IEC 62443」を紹介し、最新の改定内容についても触れます。

基幹インフラ役務の安定的な提供の確保に関する制度の概要

本制度は、国民生活および経済活動の基盤となっている「特定社会基盤役務」(基幹インフラ役務)の重要設備について、役務の安定的な提供が妨害されることを防ぐため、重要設備の導⼊・維持管理等の委託の届出および審査を行うというものです。

「役務の安定的な提供を妨害する⾏為」としては、マルウェア感染や不正プログラムの埋め込み、維持管理業務の放棄や不正操作、不正アクセスや改ざんなどが想定されています。

2023年4月に本制度の基本指針が決定・公表されて以降、段階的に施行が進んでおり、2024年5月17日から本格的に運用が開始されます。

本制度の対象となる事業・事業者

「特定社会基盤事業」としては、以下の14分野が指定されています。これらはサイバーセキュリティ戦略における「重要インフラ分野」と近いですが、「政府・行政サービス」 「医療」「化学」が含まれないなどの点が異なっています。

電気、ガス、石油、水道、鉄道、貨物自動車運送、外航貨物、航空、空港、電気通信、放送、郵便、金融、クレジットカード

本制度の対象となる「特定社会基盤事業者」は、これらの事業の所管官庁が指定することとなっており、2023年11月に告示されています。

本制度は「特定社会基盤事業者が届出を行い、審査を受ける」というものですが、この届出・審査の範囲には設備のベンダーや維持管理業務を受託するベンダーが含まれます。設備を導入する場合には「その設備を構成する設備」(構成設備)のベンダーが、維持管理業務を行う場合には最終的な再委託先までが制度の範囲に含まれます。また、ベンダー自身の情報やリスク管理措置の実施状況の一部などの情報を、事業所管大臣に直接提出することが可能です。

図1 設備導入の場合の対象範囲
図2 維持管理等の委託の場合の対象範囲

本制度の対象となる設備・業務

本制度の対象になるのは「特定重要設備」と定められています。これは、基幹インフラ役務の安定的な提供にあたって重要な設備であって、かつ妨害行為の対象になる可能性があるものです。具体的にどのような設備が特定重要設備(およびその構成設備)になるのかは、各事業の所管官庁が省令で定めています。また、維持管理業務についても同様で、制度の対象は「重要維持管理等」として省令で定められています。

図表3 特定重要設備とその構成設備(電気事業)(抜粋)
図表4 重要維持管理等に該当する業務(電気事業)(抜粋)

届出・審査

「特定社会基盤事業者」が導入等計画書の届出を行い、審査を受けるケースには以下の4つが挙げられます。

  • 他の事業者から特定重要設備の導入を行う場合
  • 特定重要設備の導入において、審査後に重要な変更が生じる場合
  • 他の事業者に委託して、特定重要設備の重要維持管理等を行わせる場合
  • 重要維持管理等の委託期間中に、重要な変更が生じる場合

「重要な変更」とは、届出事項のうち特定の項目が変更されることを言います。どの項目が「重要な変更」に該当するかは、省令により定められています。
また、設備の導入や維持管理等の委託を緊急で行わなければならない場合は、導入や業務委託を行った後で届出を行う仕組みになっています。
既に設備導入が完了している場合や、維持管理等の委託が開始している場合には届出不要ですが、新たに委託を開始する場合や契約を更新する場合は対象となります。

届出・審査にあたっては、「導入や重要維持管理等の委託に関するリスクを評価し、その結果に応じてリスク管理措置を行うこと」が特に重要です。

リスク対応の参考となる国際標準「ISA/IEC 62443」

経済安全保障法の対象となる「特定重要設備」には産業用制御システムも含まれており、リスク対応には、OTセキュリティを確保するための国際標準規格「ISA/IEC 62443」が参考になります。62443は複数の文書から構成されていますが、その中で以下の文書が参考になると考えられます。

図表6 リスク管理措置の参考となるISA/IEC 62443の文書

この中では、62443-2-4がサービスプロバイダに対するセキュリティ要求をまとめた規格であり、経済安全保障法のリスク管理措置に関係する内容が最も多い文書となります。2023年12月に改定第2版が発行されましたが、記載の変更が中心であり、従来版からのセキュリティ要求の追加などはありません。

また、62443-2-1についても改定が進められており、2024年6月に改定第2版が発行予定となっています。こちらは要求事項が再整理されるなど、大幅な変更が見込まれています。事業者向けのOTセキュリティの要求事項を定めた文書として、リスク管理措置以外の内容も含め、OTセキュリティ全般の対応に向けて参考になるものと思われますので、ご覧いただくことをお勧めします。

PwCでは、経済安全保障推進法の対応およびOTセキュリティ強化全般について支援しています。お気軽にお問い合わせください。

執筆者

上村 益永

パートナー, PwCコンサルティング合同会社

Email

木佐森 幸太

マネージャー, PwCコンサルティング合同会社

Email

「経済安全保障推進法」企業に求められる対応

8 results
Loading...

『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 -【第1回】諮問委員会での検討状況と企業影響見通し

セキュリティ・クリアランスの制度を定める重要経済安保情報の保護および活用に関する法律(重要経済安保情報保護活用法)の具体的な運用に関して、民間企業における影響が特に大きいと考えられる、適性評価および適合事業者の認定に関する内容を解説します。

Loading...

デジタル化する工場のサイバーセキュリティ

15 results
Loading...

経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」に基づくセキュリティ対策の進め方

「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」は、工場環境に適したセキュリティ対策の進め方や具体的なプロセスを説明し、PDCAサイクルを前提とした管理方法を提案しています。対策の検討・実装において参考となる資料の紹介と併せて解説します。

Loading...

インサイト/ニュース

40 results
Loading...

第2回:データマッピングとプライバシー影響評価によるリスク管理

デジタル社会において企業は個人データを活用し、価値を創造する一方、適切なプライバシーリスク管理を求められています。パーソナルデータの利活用におけるリスク評価の手法である「データマッピング」と「プライバシー影響評価(PIA)」について、重要性と具体的な実施方法を解説します。

Loading...

本ページに関するお問い合わせ