この資料は、地方公共団体情報システム機構発行「月刊J-LIS」2024年１月号に掲載された記事を使用しております。
なお、使用に当たっては、地方公共団体情報システム機構の承諾のもと使用しております。

解説 NISCの役割と自治体に求められるサイバーセキュリティ対策
（特集　情報セキュリティ対策の現在地）
内閣官房内閣サイバーセキュリティセンター（NISC）

（月刊「J-LIS」2024年1月号）

1　内閣官房内閣サイバーセキュリティセンターの体制と役割について

　内閣官房内閣サイバーセキュリティセンター（以下「NISC」という。）は、2014（平成26）年11月に成立したサイバーセキュリティ基本法（平成26年法律第104号）に基づき、2015（平成27）年１月に、内閣官房長官を本部長として内閣に設置された「サイバーセキュリティ戦略本部」とともに設置されました。NISCは主な所掌事務として、サイバーセキュリティ戦略本部の事務局としての役割を担うほか、行政各部の情報システムに対する不正な活動の監視・分析やサイバーセキュリティの確保に関し必要な助言、情報の提供その他の援助、監査等を行うとともに、サイバーセキュリティの確保に関する総合調整を担っています。

　NISCは、閣僚本部員６省庁（警察庁、デジタル庁、総務省、外務省、経済産業省及び防衛省）に加え、重要インフラ分野（14 分野）の所管省庁※）とも連携して、上述の総合調整に当たっています。こうした総合調整をより実効的に実施するため、NISCでは、情報把握・分析からインシデント対応及び政策措置までの展開を一体的に推進する体制を備えています。

※） 重要インフラ分野の所管省庁（括弧は省庁が所管する分野）
金融庁（金融）
総務省（情報通信、政府・行政サービス）
厚生労働省（医療、水道）
経済産業省（電力、ガス、化学、クレジット、石油）
国土交通省（航空、空港、鉄道、物流）

2　自治体がこれから気を付けていくべきセキュリティ対策について

（1） 最近の重要インフラを取り巻く環境変化とサイバーセキュリティ対策
　2020年代当初のコロナ禍による危機への対応を通じ、結果として人々のデジタル技術の活用は加速し、サイバー空間は、我々の生活におけるある種の「公共空間」として、より一層の重みを持つようになってきています。地方公共団体においてもデジタル・トランスフォーメーション（以下「DX」という。）が推進され、DXによる住民の利便性向上や業務効率化による業務改善が求められています１）。

１）総務省「自治体デジタル・トランスフォーメーション（DX）推進計画【第2.1版】」より

　一方で、重要インフラに対するサイバー攻撃は増加傾向にあり、その脅威は多様化・複雑化・巧妙化が進んでいます。海外では水道施設の制御システムに対する不正アクセスや、政府機関のランサムウェア感染により国家非常事態宣言を発出する等、企業だけでなく公共機関が深刻なサイバー攻撃の被害に遭った事案が実際に発生しています。国内でも地方公共団体が運営する医療機関がランサムウェア攻撃を受けて一部の診療が停止するなど、サイバー空間においては、場所、業種を問わず、あらゆる主体やサービスがサイバー攻撃の標的となりうるということをセキュリティ関係者だけでなく様々な階層で広く認識すべき状況となっています。

　このような状況に対して、我が国では、サイバーセキュリティ基本法において、重要社会基盤事業者を「国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合に国民生活又は経済活動に多大な影響を及ぼすおそれが生ずるものに関する事業を行う者」として定義し、その責務を「基本理念にのっとり、そのサービスを安定的かつ適切に提供するため、サイバーセキュリティの重要性に関する関心と理解を深め、自主的かつ積極的にサイバーセキュリティの確保に努めるとともに、国又は地方公共団体が実施するサイバーセキュリティに関する施策に協力するよう努めるものとする」と規定するとともに、官民連携による重要インフラ防護を推進するため、サイバーセキュリティ戦略本部が策定する重要インフラ行動計画において、地方公共団体を含む「政府・行政サービス」をはじめとする14の分野を「重要インフラ分野」として指定し、サイバーセキュリティの確保に向けた取り組みを推進してきました。

　2022年６月に決定された「重要インフラのサイバーセキュリティに係る行動計画」（以下「現行動計画」という。）では、「任務保証」２）の考え方を踏まえ、重要インフラ防護の目的を①サイバー攻撃だけではなく、自然災害、システムの管理不良や重要インフラを取り巻く環境変化等も重要インフラの継続的提供を不確かにするリスクと捉え、これを許容範囲内に抑制すること、②重要インフラサービス障害に備えた体制を整備し、障害発生時に適切な対応を行い、迅速な復旧を図ることの両面から、強靭性を確保し、国民生活や社会経済活動に重大な影響を及ぼすことなく、重要インフラサービスの安全かつ持続的な提供を実現することとしています。

２）企業、重要インフラ事業者や政府機関に代表されるあらゆる組織が、自らが遂行すべき業務やサービスを「任務」と捉え、係る「任務」を着実に遂行するために必要となる能力及び資産を確保すること。サイバーセキュリティに関する取り組みそのものを目的化するのではなく、各々の組織の経営層・幹部が、「任務」に該当する業務やサービスを見定めて、その安全かつ持続的な提供に関する責任を全うするという考え方。

　この目的を実現するため、現行動計画では次の五つの取り組みを推進しています（図）。

図　重要インフラのサイバーセキュリティに係る行動計画の概要

３）NICT（National Institute of Information and Communications Technology）国立研究開発法人情報通信研究機構
IPA（Information-technology Promotion Agency, Japan）独立行政法人情報処理推進機構
JPCERT/CC（Japan Computer Emergency Response Team/Coordination Center）一般社団法人JPCERT コーディネーションセンター

①障害対応体制の強化
　重要インフラ事業者等は組織全体としてサイバーセキュリティの確保に取り組んだ上で、官民の相互連携を密にした障害対応体制の強化を推進する。

②安全基準等の整備及び浸透
　自組織に最適な防護対策を実施するため、重要インフラ事業者等の関係主体における「安全基準等」の整備及び浸透の取り組みを推進する。

③情報共有体制の強化
　個々の重要インフラ事業者等が日々変化するサイバーセキュリティ動向に対応できるよう、官民間や分野内外間における情報共有体制の更なる強化に取り組む。

④リスクマネジメントの活用
　重要インフラサービスの継続的提供の強靭性確保のため、自組織に適した防護対策の計画・実施、評価・改善の繰り返しによる継続的な取り組みを推進する。

⑤防護基盤の強化
　重要インフラの防護基盤の強化のため、障害対応体制の有効性検証、人材育成、関係機関との連携、国際連携、広報広聴活動等、行動計画の全体を支える共通基盤的な取り組みを推進する。

　各分野の重要インフラ事業者等は、分野ごとに異なる法制度の下、関係する基準に従って業を営んでいるため、各重要インフラ事業者等の判断や行為に関する基準又は参考となる文書類を、各分野の関係法令に基づき規定する必要があります。現行動計画ではこれらの文書を「安全基準等」と定義し、「政府・行政サービス」など各重要インフラ分野の安全基準等において規定されることが望ましいとされるセキュリティ対策を取りまとめた文書を「安全基準等策定指針」としています。地方公共団体においては、地方公共団体の情報セキュリティポリシーの参考となるよう「地方公共団体における情報セキュリティポリシーに関するガイドライン（令和５年３月版）」（総務省作成）が、地方公共団体の安全基準等に該当します。2023年７月にサイバーセキュリティ戦略本部が策定した「重要インフラのサイバーセキュリティに係る安全基準等策定指針」（以下「現指針」という。）では、サイバーインシデントが重要インフラの事業経営に与える影響の拡大や、取引先等を経由したサイバー攻撃の発生等を踏まえ、組織統治に関するセクションを新設し、事業の継続・信頼といった経営の視点から経営層がサイバーセキュリティリスクを管理する体制の整備を促進するとともに、委託先等との契約を通じた実効性の確保によりサプライチェーンリスク対策を強化しているほか、バックアップのネットワークからの隔離等、ランサムウェア対策、クラウドサービス利用に係る対策等も強化しています。現行動計画ではITに関するリスクを主要な事業に関するリスクとして捉え、「経営層、CISO、戦略マネジメント層、システム担当者等の組織全体及びサプライチェーン等に関わる事業者における役割と責任を明確にした上で、サイバーセキュリティの専門的・技術的な問題点と、経営層が抱えている事業運営の問題点を融合させること」が障害対応体制を強化するために必要であると記載していることを踏まえ、現指針では各層が実施すべき取り組みを章別に記載することで取り組み内容の明確化を図っています４）。

４）経営層は「３. 組織統治におけるサイバーセキュリティ」、戦略マネジメント層は「４. リスクマネジメントの活用と危機管理」、システム担当者は「５．対策項目」を、実施すべき取り組みとして記載。

　また、NISCは、重要インフラ事業者等のサイバーセキュリティ部門（戦略マネジメント層、担当者層）向けに、現指針で示すセキュリティ確保に向けた取り組みについての参考情報を提供する目的で2023年７月に「重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書」を策定し、公表しています。この手引書は、重要インフラ事業者等による利活用を想定しており、各事業分野や事業領域に特化したリスクマネジメント手法が既に確立している場合は、既存の手引書やガイドライン等を優先して利活用しつつ、必要に応じて本手引書の記載内容を補完的に利活用することが望まれます。策定に当たり、組織の状況把握からリスク対応の決定・改善に至る一連の取り組みについて、NIST（米国国立標準技術研究所）のCSF（サイバーセキュリティフレームワーク）５）を基に追記を行っています。

５）NIST「重要インフラのサイバーセキュリティフレームワーク（CSF）」

（2）今後の課題
　地方公共団体を含む重要インフラ事業者等においては、行動計画に示した将来像６）の実現のため、行動計画に基づく様々な取り組みを推進し、自組織のサイバーセキュリティ対策を強化してきたところですが、NISCが重要インフラ事業者等に対しセキュリティ対策の実施状況について調査を行った「重要インフラの安全基準等の浸透状況に関する調査」（2022年度）によると、重要インフラ事業者等によるセキュリティ対策の実施状況は多くの項目において高い水準で推移しており、安全基準等は浸透しつつあると一定の評価ができる一方、「リスクアセスメントの実施」「コンティンジェンシープランの策定」「監査の実施」「脆弱性診断の実施」の実施項目が相対的に低いことから、これらを改善していくことが我が国の重要インフラのサイバーセキュリティの強化に向けた今後の課題です。

６）現行動計画「２．理想とする将来像」

　こうした課題を克服するため、具体的には、リスクアセスメントや監査・セキュリティ評価については、地方公共団体を含む重要インフラ事業者等が組織統治の一部として実施していくことが重要です。なお、コンティンジェンシープランを策定していない理由として、事業継続計画をその代替としている場合がありますが、このような事業者においては障害発生時の初動対応に関する方針、手順、体制等が十分であるかの視点から事業継続計画を確認することが重要です。

【執筆】
内閣官房内閣サイバーセキュリティセンター（NISC）
重要インフラ第１グループ参事官　紺野博行
重要インフラ第１グループ参事官補佐　加藤崇史
基本戦略総括グループ参事官補佐　中平裕基
基本戦略総括グループ主査　平田章典