重要インフラ分野の取り組み

(1)

重要インフラ分野の取り組み

重要インフラ分野の取り組みの現状の現状についてについて

平成２０年７月２９日

内閣官房情報セキュリティセンター（

NISC) http://www.nisc.go.jp

資料３‐１

(2)

枠組み・道具仕込み

内閣官房における情報セキュリティ政策の流れ内閣官房における情報セキュリティ政策の流れ

枠組み・道具仕込み

組織・体制仕込み

省庁ＨＰ

連続改ざん米国同時多発

テロ

Blaster

ワーム猛威

1999年 1999

年

2000年 2000

年

200１年 200

１年

2002年 2002

年

2003年 2003

年

2004年 2004

年

2005 2005年

年

2006 2006年

年

2007 2007年

年

2003.08

各省試行錯誤

の時代内閣官房による対策実行第一期第二期への助走期

対策実施

第二期

セキュリティポリシーガイドライン

重要インフラサイバーテロ特別行動計画

内閣官房

情報セキュリティ対策推進室

② 内閣官房情報セキュリティセンター

③ 情報セキュリティ政策会議政府機関の情報セキュリティ対策のための統一基準重要インフラの

情報セキュリティ対策に係る行動計画

第１次

情報セキュリティ基本計画

対策推進の枠組み・道具組織体制

2005.05 2005.05 2006.02 2006.02

2005.12 2005.12 2005.12 2005.12

2005.04 2005.04 2000.02

2000.02

2000.01 2000.01

一ヶ月で組織立ち上げ

2000.07 2000.07

2000.12 2000.12

2001.09 2001.09

2004.04 2004.04

①情報セキュリティ

①

情報セキュリティ補佐官の設置

補佐官

の設置

2008年 2008

年

第２次基本計画

（仮称）の検討

行動計画の見直し

2008.04 2008.04 論点整理

論点整理

2008.06 2008.06

第

第１１次提言次提言

(3)

「重要インフラの情報セキュリティ対策に係る行動計画」の概要

２

１目的と範囲

２重要インフラの定義と対象

３重要インフラにおける情報セキュリティ確保に係る「安全基準等」

４情報共有体制の強化５相互依存性解析６分野横断的な演習

７各主体において取り組むべき事項と横断的施策８行動計画の推進体制

９その他

ＩＴ障害から国民生活や社会経済活動に重大な影響を及ぼさないよう重要インフラを防護し、重要インフラ事業者等の事業継続への取組みを強化するための取ることが望ましい重要インフラ事業者等の自主的な対策について示すと共に、重要インフラ事業者等のサービスの維持及びＩＴ障害発生時の迅速な復旧等の確保を図るため、内閣官房を中心とした政府及び各重要インフラ分野において実施する事が望ましい施策を既存の法令、防災計画等の枠組み等との整合を図りつつ具体化すること

目的

「重要インフラの情報セキュリティ対策に係る行動計画」の構成

(4)

重要インフラの情報セキュリティ施策

重要インフラの情報セキュリティ施策４つの柱４つの柱

○

我が国の重要インフラ（１０分野；情報通信、金融、航空、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流）横断的な情報セキュリティ水準の向上を図るための「個別設計図」として、「重要インフラの情報セキュリティ対策に係る行動計画」を策定

○ １）サイバー攻撃のみならず、２）非意図的要因、３）災害に起因する、「ITの機能不全が引き起こすサービスの停止や機能の低下等」

（IT障害）から重要インフラを防護

○ 我が国の重要インフラ重要インフラ（１０分野；情報通信、金融、航空、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流）横断的な情報セキュリティ水準の向上を図るための「個別設計図」として、「重要インフラの情報セキュリティ対策に係る行動計画」「重要インフラの情報セキュリティ対策に係る行動計画」を策定

○ １）サイバー攻撃のみならず、２）非意図的要因、３）災害に起因する、「ITの機能不全が引き起こすサービスの停止や機能の低下等」

（ITIT障害障害）から重要インフラを防護から重要インフラを防護

③相互依存性解析

政府

分野

B

情報共有・

分析機能

分野

C

情報共有・

分析機能

②情報共有体制

情報の

流れ

解析結果

を反映

情報共有・

分析機能

IT障害発生時の対処能力の強化

行動計画によって構築される４つの柱

分野分野B

A

総合的な検証と改善

平時からの対策の強化

①安全基準等

④分野横断的演習相互依存性解析等に基づき行動計画の実効性を検証

IT

障害に関する情報を、官民連携して適切に共有

分野に起こりうる脅威、

IT

障害の他分野への波及を解明

重要インフラ事業者が情報セキュリティ対策を自己検証するための基準

重要インフラ連絡協議会重要インフラ連絡協議会

策定・導入運

用

見直し評価毎年のスパイラル

アップ

サイバー攻撃非意図的要因

によ

る IT障害災害に起因するIT 障害

４つの施策の有機的連携４つの施策の有機的連携により、より一層強固で、

により、より一層強固で、

真に依存可能な重要イン真に依存可能な重要インフラにおける

フラにおける

IT基盤を IT

基盤を実現

実現

【現状認識】

・IT障害に係る脅威の特性等を踏まえ、重要インフラ対策の基本理念、求められる対策に関する共通認識を醸成するアプローチの重要性

・想定脅威の拡大、大規模かつ広範な領域に大きな影響を与える可能性のある事象への対応強化の必要性

・連絡・連携や情報共有の枠組みで、分野横断的な情報セキュリティ対策強化の必要性

３

(5)

これまでの重要インフラの情報セキュリティ施策の実績これまでの重要インフラの情報セキュリティ施策の実績

・３分野（水道、医療、及び物流）において、CEPTOARを整備

・

CEPTOAR

特性把握マップ

(ver2)

を作成

・CEPTOAR-Councilの創設についての基本的な考え方をとりまとめ

07

４本の施策の柱これまでの実績参考資料

①「安全基準等」

の整備

06

・全１０分野において安全基準等を策定

・安全基準等の策定状況の把握・評価を実施

・指針見直しを実施し、指針の改定

①重要インフラ各分野の安全基準等

07

・全１０分野において安全基準等の見直しを実施

・安全基準等の策定状況の把握及び検証を実施

・安全基準等の浸透状況等に関する調査の実施

・指針見直しを実施し、要点を参考資料として周知

②情報共有体制の強化

06

・７分野においてＣＥＰＴＯＡＲを整備

・CEPTOAR特性把握マップを作成

・CEPTOAR-Councilの設置に向けた検討の場の設置・開催

(

～

07)

②「CEPTOAR特性把握マップ」について

③相互依存性解析の実施

06

・静的相互依存性解析を実施 ③ 相互依存性解析及び分野横断的演習の取り組みについて

07

・動的相互依存性解析を実施

・「相互依存性解析報告書」のとりまとめ

④分野横断的な演習の実施

06

・「研究的演習」を実施

・会議形式での課題討議を行う机上演習を実施

07

・分野横断的な機能演習を実施

・「2007年度分野横断的演習報告書」のとりまとめ

大半の「安全基準等」は、業法の外側に位置づけられる「ガイドライン」として策定

各分野の自主的な取組みにて、

CEPTOARを整備

官民連携体制の構築を通じて、

事業者の事業継続性の向上を図るため、解析・演習を推進

(6)

① 重要インフラ各分野の安全基準等

分野安全基準等の名称【発行主体】

※2008年2月時点

指針に基づく分類

（※１）

① ② ③ ④ 情

報通信

電気通信

電気通信事業法、電気通信事業法施行規則、事業用電気通信設備規則等（関連する告示を含む）

情報通信ネットワーク安全・信頼性基準【総務省】

電気通信分野における情報セキュリティ確保に係る安全基準（第1版）【ISeCT】（※２）

○

○ 放送放送における情報インフラの情報セキュリティ確保に関わる「安全基準等」策定ガイドライン

【日本放送協会（

NHK

）、（社）日本民間放送連盟】 ○

金融

金融機関等におけるセキュリティポリシー策定のための手引き【

FISC

】（※３）

金融機関等コンピュータシステムの安全対策基準・解説書【

FISC

】

金融機関等におけるコンティンジェンシープラン策定のための手引書【

FISC

】

○

○ 航

空

航空運送航空運送事業者における情報セキュリティ確保に係る安全ガイドライン【国土交通省】 ○ 航空管制航空管制システムにおける情報セキュリティ確保に係る安全ガイドライン【国土交通省】 ○ 鉄道鉄道分野における情報セキュリティ確保に係る安全ガイドライン【鉄道事業者等】 ○ 電力電力制御システム等における技術的水準・運用基準に関するガイドライン【電気事業連合会】 ○ ガス製造・供給に係る制御系システムの情報セキュリティ対策ガイドライン【（社）日本ガス協会】 ○ 政府・行政

サービス地方公共団体における情報セキュリティポリシーに関するガイドライン【総務省】 ○ 医療医療情報システムの安全管理に関するガイドライン第

2

版【厚生労働省】 ○

水道水道分野における情報セキュリティガイドライン【厚生労働省】 ○

物流物流分野における情報セキュリティ確保に係る安全ガイドライン【国土交通省】 ○

（※１） ①：業法に基づき国が定める「強制基準」

②：業法に準じて国が定める「推奨基準」及び「ガイドライン」

③：業法や国民からの期待に準じて事業者団体等が定める業界横断的な「業界標準」及び「ガイドライン」

④：業法や国民及び契約者等からの期待に応えるべく事業者自らが定める「内規」

（※２）

ISeCT：電気通信分野における情報セキュリティ対策協議会、（※３） FISC：（財）金融情報システムセンター

５

(7)

② 「CEPTOAR特性把握マップ」について

平成20年3月末日現在

重要インフラ分野

概要

事業の範囲

事務局名称

緊急窓口（POC）

情報の取扱いルール機能

情報と連絡手段

その他整備状況等

特徴

金融航空鉄道電力ガス ^{政府・行政}_サービス医療水道物流

情報通信

生命保険損害保険航空鉄道電力ガス地方公共団

電気通信銀行等証券体

生命保険 CEPTOAR

損害保険 CEPTOAR

航空分野におけるＣＥＰＴＯＡＲ

鉄道ＣＥＰＴＯＡＲ

電力におけるＩＴ障害に係る情報共有・分析機能

GAS CEPTOAR

自治体ＣＥＰＴＯＡＲＴ－

ＣＥＰＴＯＡＲ銀行等

CEPTOAR

証券 CEPTOAR

社団法人生命保険協会総務部組織人事グループ

社団法人日本損害保険協会業務企画部企画安全グループ

国土交通省航空局航空安全推進課航空保安対策室

国土交通省鉄道局危機管理室

電気事業連合会

情報通信部

社団法人日本ガス協会保安技術グループ

財団法人地方自治情報センター自治体セキュリティ支援室財団法人マ

ルチメディア振興センター

全国銀行協会事務システム部

日本証券業協会ＩＴ管理室

平成１９年３月末に整備４１社

（社団法人生命保険協会の定款に定める社員および特別会員）

２８社（含むｵﾌﾞｻﾞｰﾊﾞｰ３

社）

（情報システム委員会参加会社）

２グループ３機関

（航空運送事業者及び官庁（航空局・

気象庁））

２２社１団体 1機関

（鉄道事業者２２社、１団体及び官庁（鉄道局））

１２社２機関

（一般電気事業者、日本原電(株)、電源開発(株)、電気事業連合会、

電力中央研究所）

１０社

（政令指定都市８社、同等の事業者２社）

１，８６３団体

（都道府県及び市区町村）

２９社・団体 (固定系のﾈｯﾄﾜｰｸｲﾝﾌﾗを設置する電気通信事業者、

ｱｸｾｽ系の電気通信事業者、ISP事業者、携帯電話事業者等）

１，７３８社

（銀行、信用金庫、信用組合、労金、商工中金、農協等）

３１７社１０機関

（証券会社、

取引所等証券関係機関）

平成１９年４月より運用開始平成１９年

３月制定

平成１９年３月制定

平成１８年９月制定

平成１９年３月制定平成１９年

１月制定

分野内の利用システム調査を年１回実施。

社団法人生命保険協会及び財団法人金融情報システムセンターによる障害事例分析等を実施し、

分析結果を通知する機能を有する。

分野内の利用システム調査を年１回実施。

社団法人日本損害保険協会及び財団法人金融情報システムセンターによる障害事例分析等を実施し、分析結果を通知する機能を有する。

航空局による障害事例分析等を実施し、

分析結果を通知する機能を有すると共に、

分析結果をデータベース化する機能を有する。

国土交通省鉄道局危機管理室が鉄道ＣＥＰＴＯＡＲの窓口となり、現在運用されている鉄道事故等報告規則等に基づく報告を活用して情報の共有を図ることとしている。

１２社２機関は、

Face to Faceを含め、

情報共有を行う。行動計画で対象とする１２社に留まらず、分析機能をサポートすべく、電力中央研究所も体制に参画する。

分野内の利用システム調査を実施。

業界内でＩＴ障害の判断基準となる考え方を共有できるよう、実務者による常設のＷＧが、未然防止策や再発防止策等の具体的な取り組み課題を適切にサポートする。

地方公共団体の情報セキュリティレベルの向上を支援するための各種事業を実施。

情報セキュリティに関する各種情報を、

行政専用ネットワーク

（LGWAN）を活用したメール及びポータルサイトにより提供。

放送放送における

情報共有体制総務省情報通信政策局地上放送課

１９５社・団体

（日本放送協会及び地上系一般放送事業者）

既存の災害対応時等の連絡体制を活用する体制とした。

運営委員会のもとに、業態の違いによる4つの SGを設置し、全体として密な情報共有の実現を目指す。

Telecom-ISAC Japan及び社団法人電気通信事業者協会における情報共有等の先進的な取組が母体。

T-PoC（T- CEPT OARのPoC）及び4つのSGの代表者によって構成される運営委員会において、

情勢判断等を実施。

情報セキュリティ対策委員会及び財団法人金融情報システムセンターによる障害事例分析等を実施し、

分析結果を通知する機能を有する。

各証券関連団体及び財団法人金融情報システムセンターによる障害事例分析等を実施する機能を有する。

金融ＣＥＰＴＯＡＲ連絡協議会

１グループ２機関

（医療機関、

日本医師会

（情報共有機能）、保健医療福祉情報システム工業会

（情報分析機能））

平成２０年３月制定障害事例情報等メール、電話、

携帯電話、衛星電話、ＦＡＸ都道府県等を通じた既存の

（地震等災害時の）情報連絡体制を活用する。

保健医療福祉情報システム工業会を活用して障害事例の調査・分析を行い、各医療機関への情報提供等を行う。

医療医療 CEPTOAR 厚生労働省

平成２０年３月制定障害事例情報等メール、電話、

携帯電話、衛星電話、ＦＡＸ日本水道協会の会長都市及び７地方支部長都市の８構成員を連絡拠点とし、

既存の情報連絡体制を活用して会員水道事業体との情報連絡・共有を図る。

既存の会議体を活用して障害事例の調査・分析を行い、全国の会員水道事業体への情報提供等を行う。

平成２０年３月制定障害事例情報等メール、電話

様々な物流関連の業態が存在する分野である。

事務局が各分野団体の窓口となり、ＩＴ障害情報については必要に応じて関係者間の情報共有を図る。

水道水道ＣＥＰＴＯＡＲ社団法人日本水道協会総務部庶務課

物流物流 CEPTOAR 社団法人日本物流団体連合会

障害事例情報等

メール、電話

障害事例情報等メール、電話

メール、電話、

携帯電話、ＦＡＸ、ＷＥＢ、会議体

メール、電話、

携帯電話、ＦＡＸ

障害事例情報等メール、電話、

WEB 障害事例情

報等メール、電話、

ＦＡＸ

障害事例情報等メール、電話

障害事例情報等メール、電話、

ＦＡＸ、ＷＥＢ障害事例情

報等メール、電話、

ＦＡＸ構成員

（主な事業者等）

（注）本マップは、各ＣＥＰＴＯＡＲの自主的な整備状況を把握し、マップとして取り纏めたもの。

１，３９３水道事業体

（全国の会員水道事業体）

１６社６団体

（物流事業者）

Ver.Ver.２２

平成２０年３月末に整備

平成２０年４月より運用開始

６

(8)

静的解析

重要インフラに発生しうる脅威、重要インフラにおける障害発生や復旧に係る分野間の関係を定性的に把握

動的解析

重要インフラにおける動的・障害要因の連鎖的伝搬を時系列的・定量的に把握

相互依存性解析

③ 相互依存性解析及び分野横断的演習の取り組みについて

官民連携の

～仕組みづくりに～

資する取組み

官民連携の枠組みの

～実効性向上のための～

取組み

官民連携体制の

～機能向上のための～

取組み

期待される成果

・分野間での協調・連携対応の必要性や有効性等についての相互認識による基礎的環境の整備

・他分野の対応把握を通じた自分野対策の強化

・各分野における依存関係の相互認識、他分野から期待される事項の認識等を通じた意識啓発

・基準・計画等のレベル向上と「想定外」領域の縮小

・各分野におけるレベルアップ、他分野の対応状況把握による自分野の相応の対応力強化

・行動計画の実効性の検証などを通じた情報セキュリティ基盤の強化

・関係主体間で協調・連携した自律的かつ継続的取り組みの推進

・関係主体での危機管理のマネジメント・レベルの向上

・官民の連絡・連携や情報共有体制づくりの推進

・今後のITの発展・運用方法の多様化を見据えたリスクや課題の発見

・各重要インフラを中心とする関係業界も含めた自発的な取組みの推進

1. IT障害対応の課題発見、想定脅威や波及メカニズム解明等による「求められる対策」に関する共通認識の醸成

3. 「安全基準」「事業継続計画」等の対策の策定・見直しへの寄与

4. 行動計画の検証などを通じた総合的な対策推進への寄与 2. 「官民連携の仕組みづくりや実

効性向上への寄与」

研究的演習演習実施の概念、

演習課題の設定及び演習手法の理解等を主眼とした演習の実施により、

机上演習に向けたシナリオづくり等を行うとともに、官民連携の体制づくりへ寄与

机上演習演習参加者が、１つのシナリオを基に会議形式で課題討議を行いながら実施し、官民の情報共有等の検証や課題の抽出などを通じて、官民連携の枠組みの実効性向上に寄与

各CEPTOARの整備後、共通／

分野ごとの演習シナリオに基づき実施し、組織運営上及び技術上の課題事項を検証し、官民連携体制の機能的向上に寄与

分野横断的演習

想定脅威、シナリオ想定のための知見提供

課題の検証等を通じた次のステップでの解析の視点等提供

＜2006年度＞＜2007年度＞

官民連携体制の

～実効性向上のための～

取組み

＜2008年度＞

データ送受信に基づく解析

官民の連絡・連携体制と、ＩＴ障害発生時の対応能力の向上を図るため、２００６年度及び２００７年度における相互依存性解析の取りまとめを踏まえ、「分野間のシステムにおける繋がり」等の課題について検討することにより、相互依存性解析の深化を図る（SJ2008）

官民の連絡・連携体制と、IT障害発生時の対応能力の向上を図るため、２００７年度に引き続き、重要インフラ所管省庁、各重要インフラ事業者等及び各重要インフラ分野のCEPTOAR等の協力を得て、相互依存性解析の知見を考慮しつつ、想定される具体的な脅威シナリオ等、諸条件を元に研究課題として検証すべきテーマを設定し、テーマに応じた最適な演習手法（机上演習、機能演習など）による分野横断的な演習を実施し、その深化を図る（SJ2008）

機能演習

７

(9)

参考：重要インフラ専門委員会委員名簿

委員長浅野正一郎情報・システム研究機構国立情報学研究所教授

伊藤悦郎東日本旅客鉄道（株）総合企画本部システム企画部次長稲垣隆一弁護士

大塚順三日本放送協会総合企画室〔情報システム〕次長大林厚臣慶應義塾大学大学院経営管理研究科教授

雄川一彦日本電信電話（株）技術企画部門次世代ﾈｯﾄﾜｰｸ推進室担当部長金澤亨野村證券（株）ＩＴ基盤戦略部長

岸本博之（財）金融情報システムセンター監査安全部長佐藤久光東京都総務局行政改革推進部副参事

神保謙慶應義塾大学総合政策学部准教授田口靖（社）日本水道協会工務部長

竹原秀臣電気事業連合会情報通信部長土居範久中央大学理工学部教授

中尾康二

KDDI（株）運用統括本部情報セキュリティフェロー

永瀬裕伸日本通運（株）ＩＴ推進部専任部長

早貸淳子有限責任中間法人JPCERTｺｰﾃﾞｨﾈｰｼｮﾝｾﾝﾀｰ常務理事広瀬雅行（株）東京証券取引所グループＩＴ企画部長

松田栄之新日本有限責任監査法人公会計本部ディレクター宮島理一郎定期航空協会

IT

専門委員

持田恒太郎（株）三井住友フィナンシャルグループ

IT

企画部

森山拓哉住友生命保険（相）情報システム部システムリスク管理室長矢野一博日本医師会総合政策研究機構主任研究員

山川浩之（社）日本ガス協会技術部長山本志郎日本興亜損害保険（株）ＩＴ企画部

渡辺研司長岡技術科学大学大学院技術経営研究科准教授渡邊正美東京地下鉄（株）鉄道本部安全・技術部長

８

重要インフラ分野の取り組み