経済安全保障推進法の4項目の中で、私たちサイバーセキュリティ関係者が一番重視しているのが「重要インフラ事業者への行政の審査」という項目。特にサイバー攻撃への耐性に係るもので、重大な脆弱性がないかなどのチェックを事業者任せにせず、監督官庁が点検を行うというものだ。
サイバー防衛に関する重要インフラは、すでに内閣サイバーセキュリティセンター(NISC)が14分野を定めているので、上記の対象となる事業者はこの14分野(*1)になると思われていた。その対象について具体的な方向性が示された。
インフラ安全性、審査対象200社に - 日本経済新聞 (nikkei.com)
審査対象は200社ほどに絞られるというのが、この記事。
・電力分野では、大手電力や送配電事業者
・鉄道分野では、営業キロ1,000km以上の大手
・銀行分野では、預金残高10兆円以上のメガバンクや大手地銀
が対象となるという。具体的な企業名の発表は、秋になるとのこと。おおむね予想できた内容だが、私にはもうひとつ気になることがある。それは、重要インフラ事業者の事業継続に必須の製品やサービスを提供しているサプライヤーのことだ。
例えば医療機関に対してのランサムウェア攻撃が頻発しているが、電子カルテをクラウド事業者に依存していてクラウド事業者が攻撃された場合はどうするのか?医療分野の点検は厚生労働省が担当するとして、同省がクラウド事業者の点検もするのだろうか?
「それは行政ではなくインフラ事業者の責務だよ」と言われるかもしれない。しかし、
経産省・公取の共同文書(3/終) - Cyber NINJA、只今参上 (hatenablog.com)
で紹介したように、行政から指導を受けたことをそのままサプライヤーに求めると、公取さんから「優越的地位の濫用」にあたるとされることもあるのだ。ではサプライヤーも行政自身の点検対象になるのだろうか?それだと200社では到底収まらないのではないか?さて、この結論は・・・。
*1:情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス(地方公共団体を含む)、医療、水道、物流、化学、クレジット、石油