{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
経済安全保障推進法に基づく「基幹インフラの安定的な提供の確保に関する制度」の運用開始が迫っています。本稿では、法律や制度の概要、制度で求められる対応について解説します。また、対応にあたって参考となるOTセキュリティの国際標準「IEC 62443」を紹介し、最新の改定内容についても触れます。
「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(経済安全保障推進法)」は、国家・国民の安全を経済面から確保することを目的としており、基本方針を策定するとともに、以下の4つの制度を創設するものです。
これらの制度は、2022年5月の公布以降、2年以内に段階的に施行することとされています。
本稿では、このうち特にOTセキュリティに係る「基幹インフラ役務の安定的な提供の確保に関する制度」(以下、本制度)について取り上げます。
本制度は、国民生活および経済活動の基盤となっている「特定社会基盤役務」(基幹インフラ役務)の重要設備について、役務の安定的な提供が妨害されることを防ぐため、重要設備の導⼊・維持管理等の委託の届出および審査を行うというものです。
「役務の安定的な提供を妨害する⾏為」としては、マルウェア感染や不正プログラムの埋め込み、維持管理業務の放棄や不正操作、不正アクセスや改ざんなどが想定されています。
2023年4月に本制度の基本指針が決定・公表されて以降、段階的に施行が進んでおり、2024年5月17日から本格的に運用が開始されます。
「特定社会基盤事業」としては、以下の14分野が指定されています。これらはサイバーセキュリティ戦略における「重要インフラ分野」と近いですが、「政府・行政サービス」 「医療」「化学」が含まれないなどの点が異なっています。
電気、ガス、石油、水道、鉄道、貨物自動車運送、外航貨物、航空、空港、電気通信、放送、郵便、金融、クレジットカード
本制度の対象となる「特定社会基盤事業者」は、これらの事業の所管官庁が指定することとなっており、2023年11月に告示されています。
本制度は「特定社会基盤事業者が届出を行い、審査を受ける」というものですが、この届出・審査の範囲には設備のベンダーや維持管理業務を受託するベンダーが含まれます。設備を導入する場合には「その設備を構成する設備」(構成設備)のベンダーが、維持管理業務を行う場合には最終的な再委託先までが制度の範囲に含まれます。また、ベンダー自身の情報やリスク管理措置の実施状況の一部などの情報を、事業所管大臣に直接提出することが可能です。
本制度の対象になるのは「特定重要設備」と定められています。これは、基幹インフラ役務の安定的な提供にあたって重要な設備であって、かつ妨害行為の対象になる可能性があるものです。具体的にどのような設備が特定重要設備(およびその構成設備)になるのかは、各事業の所管官庁が省令で定めています。また、維持管理業務についても同様で、制度の対象は「重要維持管理等」として省令で定められています。
「特定社会基盤事業者」が導入等計画書の届出を行い、審査を受けるケースには以下の4つが挙げられます。
「重要な変更」とは、届出事項のうち特定の項目が変更されることを言います。どの項目が「重要な変更」に該当するかは、省令により定められています。
また、設備の導入や維持管理等の委託を緊急で行わなければならない場合は、導入や業務委託を行った後で届出を行う仕組みになっています。
既に設備導入が完了している場合や、維持管理等の委託が開始している場合には届出不要ですが、新たに委託を開始する場合や契約を更新する場合は対象となります。
届出・審査にあたっては、「導入や重要維持管理等の委託に関するリスクを評価し、その結果に応じてリスク管理措置を行うこと」が特に重要です。
リスク管理措置についても、各事業の所管官庁が省令で定めています。これらの措置はリスク評価結果に応じて実施するもので、必ずしも全ての措置を実施する必要はありません。また、同一の内容でなくても、同程度のリスク管理ができていれば良いとされています。届出にあたっては、それぞれの措置を実施しているかのチェックだけでなく、実施状況が確認できる書類の貼付も必要であることに注意が必要です。
以下にリスク管理措置の全項目の要約を記載します。具体的な内容は、内閣府が公開している制度の説明・解説資料などを参照してください。
経済安全保障法の対象となる「特定重要設備」には産業用制御システムも含まれており、リスク対応には、OTセキュリティを確保するための国際標準規格「ISA/IEC 62443」が参考になります。62443は複数の文書から構成されていますが、その中で以下の文書が参考になると考えられます。
この中では、62443-2-4がサービスプロバイダに対するセキュリティ要求をまとめた規格であり、経済安全保障法のリスク管理措置に関係する内容が最も多い文書となります。2023年12月に改定第2版が発行されましたが、記載の変更が中心であり、従来版からのセキュリティ要求の追加などはありません。
また、62443-2-1についても改定が進められており、2024年6月に改定第2版が発行予定となっています。こちらは要求事項が再整理されるなど、大幅な変更が見込まれています。事業者向けのOTセキュリティの要求事項を定めた文書として、リスク管理措置以外の内容も含め、OTセキュリティ全般の対応に向けて参考になるものと思われますので、ご覧いただくことをお勧めします。
PwCでは、経済安全保障推進法の対応およびOTセキュリティ強化全般について支援しています。お気軽にお問い合わせください。