第1回では、重要インフラ・システムに対するサイバー攻撃の事例について見た。今回と次回は、国家による重要インフラ・システムの防護への取り組みの変遷を、以下の五つの流れに沿って見ていく。
●防護体制・計画の整備と情報共有の促進(今回)
●相互依存性解析とサイバー演習の実施(今回)
●セキュリティー基準の整備(次回)
●サイバー軍事力の強化(次回)
●制御システムのセキュリティーの強化(次回)
防護体制・計画の整備と情報共有の促進
米国で1998年5月に発令された「大統領決定指令第63号(PDD-63)」では、米国が国策として重要インフラ防護を進めるに当たり、政府の取り組み体制が決められ、整備計画の策定が指示された。また、電力や金融など各重要インフラ分野における「Information Sharing and Analysis Center(ISAC)」の設立が奨励された。ISACは、テロやサイバー攻撃など、重要インフラの運営に影響を及ぼす様々な脅威や対策に関する情報を業界内で共有し、業界としてサイバー・セキュリティーの強化に取り組むことを促す仕組みである。
これを受けて、1999年10月に設立された金融業界の「Financial Services ISAC」を皮切りに、通信業界(2000年1月)、電力業界(2000年10月)などでもISACが設立された。
政府主導か民間主導か、官民連携か、国によって性格は異なるが、米国の取り組みは諸国における重要インフラ防護体制・計画の整備を促し、特にISACは、英国における「Information Exchange(IE)」(2003年)の立ち上げ、オーストラリアにおける「Infrastructure Assurance Advisory Group(IAAG)」(2003年)の立ち上げなど、情報共有の仕組みの先例となった。
日本でも2005年12月に「重要インフラの情報セキュリティー対策に係る(第1次)行動計画 」が策定され、情報共有・分析の仕組みとして各重要インフラ分野にセプター(Capability for Engineering of Protection, Technical Operation, Analysis and Response(CEPTOAR))が立ち上げられている。2013年1月末時点で15セプターが設立されており、各セプターの代表者らが集うセプターカウンシルの総会には、重要インフラ所轄官庁、情報処理推進機構(IPA)などもオブザーバーとして参加し、情報共有を行っている(図1)。
各国ではその後も重要インフラ防護計画の見直しを行い、今日に至っている。しかし、情報共有の促進は最も早くに始動した取り組みの一つであるにも関わらず、事業者側における、共有した情報が基で行政から非難を受ける可能性や、一般に公表された場合の企業イメージの低下への懸念などから、積極的な情報共有には依然障害が多く、現在でも各国において情報共有を促す努力が続けられている。
