天災にも負けず、人的ミスにも負けない重要インフラ防護策を――政府委員会

政府の情報セキュリティ基本問題委員会は、電力やガスなど重要インフラのセキュリティ強化策を「第二次提言」として取りまとめた。

[高橋睦美，ITmedia]

　政府の情報セキュリティ基本問題委員会は4月22日、電力やガス、金融や情報通信をはじめとする重要インフラのセキュリティ強化策を「第二次提言」として取りまとめ、公開した。

　同委員会は、国としての統一的な情報セキュリティ政策／対策のあり方を検討することを目的として、2004年7月にIT戦略本部の下に置かれた情報セキュリティ専門調査会の中に設置された。2004年11月には、内閣官房情報セキュリティセンター（NISC）の設置などを含む「第一次提言」をまとめている。

　続いてまとめられた第二次提言の主眼は、企業のビジネスや個人の生活を支える重要インフラのセキュリティ強化だ。この提言は、5月中に開かれる次回のIT戦略本部で報告され、政府としての決定を待つことになる。

見過ごされてきた2つの要因

　政府は既に2000年12月、「重要インフラのサイバーテロ対策に係る特別行動計画」をまとめ、情報通信、金融、航空、鉄道、電力、ガス、行政サービス（地方公共団体）の7分野を「重要インフラ」と定義し、官民の連絡、連携体制の整備を進めてきた。

　しかし、過去5年間を振り返ってみると「サイバー攻撃だけでなく、人的ミスや自然災害によってITシステムが機能不全を起こすケースがけっこう多い」（情報セキュリティ補佐官の山口英氏）。少し思い返すだけでも、システム統合にともなうみずほ銀行での大規模な障害や航空管制システムの障害のように、設計やプログラム上のミスが原因で多大な影響が生じたケースが発生している。

　いまやITは、さまざまなサービスの基盤となっている。原因がいかなるものであれ、「（IT障害が発生し）サービス提供や事業継続ができなくなるリスクを、もはや放置することはできない」（山口氏）。

縦割り分断ではなく、横断的な対策の重要性に言及した山口補佐官

　そこで第二次提言では、重要インフラの範疇に、先の7分野に「医療」「水道」「物流」等を加えたうえで、意図的なサイバー攻撃だけでなく、人為的ミスや自然災害も視野に入れて防護策を講ずるべきとした。

　もう1つ注目すべきは、重要インフラの相互依存性に着目している点だ。

　たとえば大規模な震災が発生し、電力インフラに障害が発生すると、たとえUPSがあったとしても遠からずITシステムや通信設備、金融システムに影響が及ぶ。補給、修理を行おうにも流通インフラまでダメージを受けているためままならない……という具合に、ドミノ式に被害が拡大し、復旧が困難になる可能性がある。

　だが「こうした相互依存性については、これまであまり議論されてこなかった」（山口氏）。各重要インフラの関係を横断的に把握、解析し、優先順位を見極めたうえで施策を進めていく必要があるとした。

新防護体制に向けて3つの柱

　第二次提言ではこういった背景を踏まえ、「新しい重要インフラ防護体制」に向けて3つの対策を取るべきとしている。

　1つめは、NISCが中心となって、各重要インフラの横断的な状況把握を実施すること。「これまで各分野ごとに分断していた対策を、国全体としての対策にしていく」（山口氏）。

　2つめは、電力、ガス、通信……といった各重要インフラごとに、事業者間で情報を共有し、分析する仕組みとして「情報共有・分析センター（ISAC：Information Sharing & Analysis Center）」を作り上げていくことだ。既に通信業界ではTelecom-ISAC Japan、金融業界にはFISC（金融情報システムセンター）という組織が存在するが、同様の枠組みを各インフラごとに展開し、全体としての底上げを目指す。同時に、ISAC横断的な情報共有を図るための「重要インフラ連絡協議会（仮称）」の設置も盛り込まれている。

　さらに、いざIT障害が発生した場合に備えた予行訓練として、いくつかのシナリオに沿った「総合的演習」も実施していく。これも過去には、インフラ業界ごとにばらばらに行われたケースはあるが、横断的な、全体を通しての演習を実施する方向だ。

　一連の施策の実現に向けて、4月25日に設置されるNISC内には重要インフラ防護担当の部門を置く。ここで2005年度内に具体策をとりまとめ、2006年度中に重要インフラ業界ごとのISAC創設、安全基準・ガイドラインの作成といった活動を開始することも盛り込まれている。