天災にも負けず、人的ミスにも負けない重要インフラ防護策を――政府委員会
タイトルだけ読むと、「そんな無茶な。。。」と思ってしまうのですが。
政府は既に2000年12月、「重要インフラのサイバーテロ対策に係る特別行動計画」をまとめ、情報通信、金融、航空、鉄道、電力、ガス、行政サービス(地方公共団体)の7分野を「重要インフラ」と定義し、官民の連絡、連携体制の整備を進めてきた。
しかし、過去5年間を振り返ってみると「サイバー攻撃だけでなく、人的ミスや自然災害によってITシステムが機能不全を起こすケースがけっこう多い」(情報セキュリティ補佐官の山口英氏)。少し思い返すだけでも、システム統合にともなうみずほ銀行での大規模な障害や航空管制システムの障害のように、設計やプログラム上のミスが原因で多大な影響が生じたケースが発生している。
いまやITは、さまざまなサービスの基盤となっている。原因がいかなるものであれ、「(IT障害が発生し)サービス提供や事業継続ができなくなるリスクを、もはや放置することはできない」(山口氏)。
そこで第二次提言では、重要インフラの範疇に、先の7分野に「医療」「水道」「物流」等を加えたうえで、意図的なサイバー攻撃だけでなく、人為的ミスや自然災害も視野に入れて防護策を講ずるべきとした。
もう1つ注目すべきは、重要インフラの相互依存性に着目している点だ。
たとえば大規模な震災が発生し、電力インフラに障害が発生すると、たとえUPSがあったとしても遠からずITシステムや通信設備、金融システムに影響が及ぶ。補給、修理を行おうにも流通インフラまでダメージを受けているためままならない……という具合に、ドミノ式に被害が拡大し、復旧が困難になる可能性がある。
だが「こうした相互依存性については、これまであまり議論されてこなかった」(山口氏)。各重要インフラの関係を横断的に把握、解析し、優先順位を見極めたうえで施策を進めていく必要があるとした。
なるほどね。国単位で大きな枠で見ていくわけですか。NISCってなにしてくれるんだろうねぇ・・・
