経済安全保障推進法における基幹インフラの安定性確保とOTセキュリティ

  • 2024-03-26

経済安全保障推進法に基づく「基幹インフラの安定的な提供の確保に関する制度」の運用開始が迫っています。本稿では、法律や制度の概要、制度で求められる対応について解説します。また、対応にあたって参考となるOTセキュリティの国際標準「IEC 62443」を紹介し、最新の改定内容についても触れます。

基幹インフラ役務の安定的な提供の確保に関する制度の概要

本制度は、国民生活および経済活動の基盤となっている「特定社会基盤役務」(基幹インフラ役務)の重要設備について、役務の安定的な提供が妨害されることを防ぐため、重要設備の導⼊・維持管理等の委託の届出および審査を行うというものです。

「役務の安定的な提供を妨害する⾏為」としては、マルウェア感染や不正プログラムの埋め込み、維持管理業務の放棄や不正操作、不正アクセスや改ざんなどが想定されています。

2023年4月に本制度の基本指針が決定・公表されて以降、段階的に施行が進んでおり、2024年5月17日から本格的に運用が開始されます。

本制度の対象となる事業・事業者

「特定社会基盤事業」としては、以下の14分野が指定されています。これらはサイバーセキュリティ戦略における「重要インフラ分野」と近いですが、「政府・行政サービス」 「医療」「化学」が含まれないなどの点が異なっています。

電気、ガス、石油、水道、鉄道、貨物自動車運送、外航貨物、航空、空港、電気通信、放送、郵便、金融、クレジットカード

本制度の対象となる「特定社会基盤事業者」は、これらの事業の所管官庁が指定することとなっており、2023年11月に告示されています。

本制度は「特定社会基盤事業者が届出を行い、審査を受ける」というものですが、この届出・審査の範囲には設備のベンダーや維持管理業務を受託するベンダーが含まれます。設備を導入する場合には「その設備を構成する設備」(構成設備)のベンダーが、維持管理業務を行う場合には最終的な再委託先までが制度の範囲に含まれます。また、ベンダー自身の情報やリスク管理措置の実施状況の一部などの情報を、事業所管大臣に直接提出することが可能です。

図1 設備導入の場合の対象範囲
図2 維持管理等の委託の場合の対象範囲

本制度の対象となる設備・業務

本制度の対象になるのは「特定重要設備」と定められています。これは、基幹インフラ役務の安定的な提供にあたって重要な設備であって、かつ妨害行為の対象になる可能性があるものです。具体的にどのような設備が特定重要設備(およびその構成設備)になるのかは、各事業の所管官庁が省令で定めています。また、維持管理業務についても同様で、制度の対象は「重要維持管理等」として省令で定められています。

図表3 特定重要設備とその構成設備(電気事業)(抜粋)
図表4 重要維持管理等に該当する業務(電気事業)(抜粋)

届出・審査

「特定社会基盤事業者」が導入等計画書の届出を行い、審査を受けるケースには以下の4つが挙げられます。

  • 他の事業者から特定重要設備の導入を行う場合
  • 特定重要設備の導入において、審査後に重要な変更が生じる場合
  • 他の事業者に委託して、特定重要設備の重要維持管理等を行わせる場合
  • 重要維持管理等の委託期間中に、重要な変更が生じる場合

「重要な変更」とは、届出事項のうち特定の項目が変更されることを言います。どの項目が「重要な変更」に該当するかは、省令により定められています。
また、設備の導入や維持管理等の委託を緊急で行わなければならない場合は、導入や業務委託を行った後で届出を行う仕組みになっています。
既に設備導入が完了している場合や、維持管理等の委託が開始している場合には届出不要ですが、新たに委託を開始する場合や契約を更新する場合は対象となります。

届出・審査にあたっては、「導入や重要維持管理等の委託に関するリスクを評価し、その結果に応じてリスク管理措置を行うこと」が特に重要です。

リスク対応の参考となる国際標準「ISA/IEC 62443」

経済安全保障法の対象となる「特定重要設備」には産業用制御システムも含まれており、リスク対応には、OTセキュリティを確保するための国際標準規格「ISA/IEC 62443」が参考になります。62443は複数の文書から構成されていますが、その中で以下の文書が参考になると考えられます。

図表6 リスク管理措置の参考となるISA/IEC 62443の文書

この中では、62443-2-4がサービスプロバイダに対するセキュリティ要求をまとめた規格であり、経済安全保障法のリスク管理措置に関係する内容が最も多い文書となります。2023年12月に改定第2版が発行されましたが、記載の変更が中心であり、従来版からのセキュリティ要求の追加などはありません。

また、62443-2-1についても改定が進められており、2024年6月に改定第2版が発行予定となっています。こちらは要求事項が再整理されるなど、大幅な変更が見込まれています。事業者向けのOTセキュリティの要求事項を定めた文書として、リスク管理措置以外の内容も含め、OTセキュリティ全般の対応に向けて参考になるものと思われますので、ご覧いただくことをお勧めします。

PwCでは、経済安全保障推進法の対応およびOTセキュリティ強化全般について支援しています。お気軽にお問い合わせください。

執筆者

上村 益永

パートナー, PwCコンサルティング合同会社

Email

木佐森 幸太

マネージャー, PwCコンサルティング合同会社

Email

「経済安全保障推進法」企業に求められる対応

10 results
Loading...

『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 【第3回】運用基準を踏まえた企業対応の在り方

2025年5月17日までに施行される経済安全保障分野におけるセキュリティ・クリアランス制度に関して、特に影響があると見込まれる事業者や事業者の担当者において必要となる対応を、2025年1月31日に閣議決定された運用基準を踏まえて解説します。

『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 -【第1回】諮問委員会での検討状況と企業影響見通し

セキュリティ・クリアランスの制度を定める重要経済安保情報の保護および活用に関する法律(重要経済安保情報保護活用法)の具体的な運用に関して、民間企業における影響が特に大きいと考えられる、適性評価および適合事業者の認定に関する内容を解説します。

Loading...

デジタル化する工場のサイバーセキュリティ

20 results
Loading...

医薬品の安定供給を支える、OTセキュリティ実装の道筋とは

近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。

Loading...

インサイト/ニュース

40 results
Loading...

航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―

航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。

医薬品の安定供給を支える、OTセキュリティ実装の道筋とは

近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。

Loading...

本ページに関するお問い合わせ

We unite expertise and tech so you can outthink, outpace and outperform
See how