・2015年にウクライナの変電所に対するサイバー攻撃により大規模かつ長期にわたる停電が発生
・米国のパイプライン事業者の管理システムに対するサイバー攻撃により全パイプラインの操業が停止
・欧州を中心とする物流企業等がサイバー攻撃の被害に遭い、大手海運企業などに甚大な被害
このような基幹インフラへの外部からのサイバー攻撃等に対して国としてどう対処するか?
今回は仕事に関する勉強も含め、「経済安全保障推進法における特定社会基盤役務の安定的な提供の確保に関する制度」を取り上げます。
令和4年5月18日に経済安全保障推進法(経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律)が公布されました。
この法律の趣旨は次のとおりです。
・安全保障の確保に関する経済施策を総合的かつ効果的に推進
・経済施策を一体的に講ずることによる安全保障の確保の推進に関する基本方針を策定
・安全保障の確保に関する経済施策として、所要の制度を創設
具体的には、喫緊の課題に対応するため、以下の4つの制度を創設するとしています。
(1)重要物資の安定的な供給の確保
(2)基幹インフラ役務の安定的な提供の確保
(3)先端的な重要技術の開発支援
(4)特許出願の非公開
引用 経済安全保障推進法の制定経緯・趣旨/内閣府 より
この法律の背景は以下の資料で確認できます。
特定社会基盤役務の安定的な提供の確保に関する制度について 参考資料
特定妨害行為の防止による 特定社会基盤役務の安定的な提供の確保に関する基本指針(案)
<背景概要>
・近年の厳しい安全保障環境や地政学的な緊張の高まりは、サイバー空間にも影響を及ぼしている。
・国民生活や経済活動の基盤となるインフラ事業に対してサイバー攻撃が行われた事案多い
・サイバー攻撃の中には国家を背景とした形で行われるものもあり、インフラ事業に対する、組織的かつ洗練されたサイバー攻撃の脅威が増大
・ インフラ事業者が提供する役務には、その安定的な提供に支障が生じた場合に国民の生存を脅かし、又は経済・社会秩序の平穏を損なうおそれがあるものがある。
・こうした役務を提供するインフラ事業の安全性・信頼性の確保は、我が国の安全保障の確保のため重要。
・インフラ事業者は、他の事業者から設備の導入を行い、又は他の事業者に委託して設備の維持管理や操作を行わせる場合がある。
・インフラ事業者が利用するICT機器の高度化やそのサプライチェーンの複雑化・グローバル化を背景に、サプライチェーンの過程で不正機能が埋め込まれる可能性や、機器の脆弱性に関する情報がインフラ事業者の意図に反して共有される可能性等が高まっている。
・これらは、我が国の外部から、役務の安定的な提供を妨害する行為の手段として使用されるおそれを増大させている。
・ こうした状況を踏まえ、我が国の安全保障を確保するためには、インフラ事業者が設備の導入等を行う前に、政府が当該設備の導入等に伴うリスクを把握し、我が国の外部から行われる妨害行為の手段として使用されるおそれが大きい場合には、そのリスクを低減させ、又は排除する必要がある。
ここでは、(2)基幹インフラ役務の安定的な提供の確保を取り上げ、内閣府ほホームページの基幹インフラ役務の安定的な提供の確保に関する制度から以下の資料を参照して概要を確認してみました。
経済安全保障推進法における特定社会基盤役務の安定的な提供の確保に関する制度について /2024年10月17日 内閣府(以下:制度説明資料)
1.制度概要
制度説明資料によると、制度の概要は次のとおりです。
◆基幹インフラの重要設備が役務の安定的な提供を妨害する行為の手段として使用されることを防止するため、国が一定の基準のもと、基幹インフラ事業(特定社会基盤事業)・事業者(特定社会基盤事業者)を指定し、国が定めた重要設備(特定重要設備)の導入・維持管理等の委託をしようとする際には、事前に国に届出を行い、審査を受ける制度を構築。令和5年11月に法を施行し、令和6年5月17日から制度運用開始。
◆国は、届け出られた計画書に係る特定重要設備が、我が国の外部から行われる妨害行為の手段として使用されるおそれが大きいと認めるときは、当該計画書を届け出た者に対し、妨害行為を防止するため必要な措置を講じた上で重要設備の導入等を行うこと等を勧告(命令)できる。
要約すると、基幹インフラ事業の設備が我が国の外部から行われる妨害行為の手段として使用されないように国が事業者を管理(勧告、その措置の報告を要求)するという制度です。
そのために、事業者は予め国に計画書を届出てくださいということですね。
2.規制対象
国は規制対象となる事業、事業者、特定重要設備、重要維持管理等を政省令で規定しています。
➢特定社会基盤事業:法律で規制対象の外縁となる事業(電力、通信、放送、銀行等)を列挙した上で、政令で絞込み
➢特定社会基盤事業者:事業区分ごとに指定基準を省令で定め、対象事業者を指定
➢特定重要設備:役務の安定的な提供において重要、かつ妨害行為の手段として使用されうるものを省令で規定
➢重要維持管理等:特定重要設備の機能維持又は役務の安定的な提供において重要、かつ妨害行為の手段として使用されうるものを省令で規定
経済安全保障推進法には、「特定重要設備の導入」に係る届出・審査と、「特定重要設備の重要維持管理等の委託」に係る届出・審査が存在し、前者については構成設備の供給者まで、後者については重要維持管理等の委託先全てに関する情報の届出が必要とされています。(重要維持管理等については例外的に、一定の要件を満たせば一部事項の省略が可能。)
対象分野は15分野ですが下水道が入っていないのが気になりました。港湾運送が追加されているので今後追加される可能性はありそうです。
制度説明資料のP44以降の別紙に具体の規制対象が示されています。
私の仕事や関心の対象である水道事業はP49に記載があります。
水道事業に関しては以下のリンク先に詳細情報があります。
水道分野における経済安全保障推進法の特定社会基盤役務の 安定的な提供の確保に関する制度の解説
この解説を確認すると、具体的な水道分野の特定重要設備とその規模は次のとおりとなります。
①水道分野の特定重要設備:浄水処理の各工程の稼働状況を包括的かつ集中的に監視し、かつ、当該各工程を制御するために使用される情報処理システム
この浄水処理の各工程とは、「消毒処理、緩速濾過、急速濾過、膜濾過、粉末活性炭処理、粒状活性炭処理、オゾン処理、生物処理その他の方法により、所要の水質が得られる」ための各工程をいい、これらの工程の稼働状況を包括的かつ集中的に監視し、かつこれら工程を制御するために使用されるシステムが対象となる。
②水道分野の特定重要設備に関する浄水施設の規模:一日当たりの浄水能力の最も大きいものから順次合計して得た数が、当該水道事業又は水道用水供給事業を行う者の全ての浄水施設の一日当たりの浄水能力を合計して得た数の九十五パーセントに達するまでのものに限る。
水道分野の経済安全保障に係る特定重要設備の導入 又は重要維持管理等の委託に関する 導入等計画書作成・届出ガイドライン (第1版)/ 令和6年3月28日 厚生労働省 健康・生活衛生局 水道課
このガイドラインに、構成設備の説明や届出が必要な行為の類型(導入、重要維持管理等)が具体的に示されています。
ここまで調べてざっと、概要を把握することができました。実際には届出を行う際に、改めて関係資料や事例を確認することになると思います。
特定社会基盤事業者の指定基準は、水道事業で給水人口100万人超、水道用水供給事業で1日最大給水量50万㎥超となっていますが、その水準の少し下のクラス(指定されていない政令市レベル)の事業で1つの浄水場で95%以上供給するケースはどうなのかなと気になったところでした。
民間事業者としては、届出の手間が増える・・・という側面がありますが、安全保障を確保するためには指定基準未満でも同等の計画案を提案するべきという考えも出てきそうな気がします。
3.まとめ
上下水道分野のサイバー攻撃の脅威は、米国の事例が記憶に新しいところです。
我が国は人口減少を背景に、施設の運転維持管理の自動化を図るにあたってデジタル化を積極的に推進する流れとなっていますが、解決策を講じても新たに発生する恐れがあるリスクとして、まさにこのサイバー攻撃の例が挙げられます。その対策として、政府がリスクを把握し、低減又は排除するための法令・制度を整備したところです。民間事業者側はコストや工期等の制約の中でもこのことを理解し、サイバーセキュリティに強い人材の確保やセキュリティの脆弱性の総点検など、リスクの低減や排除に努めていく必要性があります。
最後のまとめ方が技術士二次試験のようになりましたが、何か解決策を講じたとしても、それで安心することなく、その先に起こりうるリスクを見通すことは実務でも要求されます。
そして、技術者倫理の観点で見ると、サイバー攻撃に加担するのは論外ですが、提供する技術が意図に反して利用される恐れを見通しておく必要がありますね。
そのためにも、最新の動向を把握し、他分野も含めてアンテナを張っておくことが大切です。(継続研さん)
出典 主なインシデント事例 令和4年4月4日 経済産業省 商務情報政策局サイバーセキュリティ課