今回と次回は、重要インフラ・セキュリティーの分野を先導している米国の現在の政策や取り組みの内容について、日本の取り組みを交えながら、さらに詳細に説明する。
米国の重要インフラ防護への取り組みは、1998年の「大統領決定指令第63号(PDD-63)」に示された。しかし、2001年9月11日に起こった同時多発テロにより、米国の国家安全保障体制は大きく見直されることになった。
2002年11月には「国土安全保障法」が施行され、米国をテロから守ることを使命とした国土安全保障省(DHS)が誕生したのは周知の通りだ。PDD-63もポスト9.11時代に合わせて改訂され、2003年12月に「国土全保障に関する大統領指令第7号(HSPD-7)」として発令し直された。HSPD-7により、DHSは重要インフラのサイバー・セキュリティー対策の主導機関となり、2006年7月に実行計画として「国家インフラ防護計画(NIPP)」を発表した。現在のNIPPは、2009年8月に更新された改訂版に当たる関連情報。
NIPPは重要インフラ防護に国家として統一性を持って取り組むために、連邦・州・地方政府機関のあらゆるレベルで官民が連携し、一体となって取り組む枠組みを規定している。内容としては、取り組みにあたっての国家体制および各組織の役割、重要インフラのリスクを低減するための戦略、国家安全保障における位置づけ、他の施策との関連性、官民の連携と情報共有の仕組みなどについてまとめている。
なお、HSPD-7も、進化を続ける現在のリスク環境に合わせ、つい最近2012年2月に大統領政策指令第21号(PPD-21)によって取消・後継され、体制やHSPD-7以降の取り組みの見直しが進められる。その一端として、NIPPの内容についても改訂が予定されている。
民間事業者の対応に苦心する米国政府
現在重要インフラに指定されているのはエネルギー、水道、通信、金融、運輸(交通)、ダム、化学など18分野で、各分野における具体的な防護計画は、各分野の所轄省庁(SSA)が業界と連携して個別の防護計画(SSP)を策定している。しかしながら、SSPに強制力はない。米国の重要インフラは85%が民間による所有・運営といわれ、電力業界のように別の法規で義務付けられていない限り、事業者による取り組みはあくまで任意ベースだからだ。
そのためもあってか、米国の重要インフラのサイバー・セキュリティーがこの10年で劇的に進んだとは言い難い。重要インフラにおける取り組みを促進するための法案がしばしば議会に提出されるが、最新のサイバー・セキュリティー法案「Cyber Security Act of 2012 (CSA2012) 」(Cyber Security Act of 2012 (S.3414) :Cyber Security Act of 2012 (S.2105)の修正案へのリンク)が2012年8月に続き、11月にも上院で否決された。業を煮やしたホワイトハウスは、今年2013年2月12日に行政命令(EO)の発令に踏み切った。このEOでは、重要インフラを対象としたサイバー・セキュリティ基準の策定、および任意ながらも重要インフラ事業者や企業に基準へのコンプライアンスを促すプログラムなどが打ち立てられている。義務付けは見送られたが、コンプライアンスを政府調達の要件とする可能性などを行使して、重要インフラ事業者や企業に圧力を掛けている。
日本では、2009年2月に開始した「重要インフラの情報セキュリティー対策に係る第2次行動計画(2012年4月改訂) 」の下に取り組みが進められている。各重要インフラ分野におけるセキュリティー基準の整備ができているなど、米国と比較して日本が先行している部分もあるが、取り組みは任意ベースという点では、米国と同じ課題を抱えている。
