★☆★JNSAメールマガジン 第284号 2024.4.5☆★☆
2024/04/05 (Fri) 15:30
★☆★JNSAメールマガジン 第284号 2024.4.5☆★☆
こんにちは
JNSAメールマガジン 第284号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
シスコシステムズ合同会社
セキュリティ事業 アーキテクト/エバンジェリストJNSA 幹事 木村 滋様に
ご寄稿いただきました。
【連載リレーコラム】
経済安全保障
―新制度「基幹インフラ役務の安定的な提供の確保に関する制度」に関する
セキュリティとの関係性
シスコシステムズ合同会社
セキュリティ事業 アーキテクト/エバンジェリスト
JNSA 幹事 木村 滋
◯「経済安全保障と経済安全保障推進法」
近年の世界経済、日本を取り巻く近接国との地政学の著しい変化が背景となり、
特にここ数年で日本の経済安全保障に関する政策が大きく進展してきました。
「経済安全保障」とは国家が経済的な手段を用いて政治的目標を達成する、
経済的手段によって安全保障を確保する、と定義されます。このための枠組み
として、2022年5月第208回通常国会にて、「経済施策を一体的に講ずることに
よる安全保障の確保の推進に関する法律案」通称:経済安全保障推進法が成立
しました。
◯「経済安全保障推進法枠組みと基幹インフラ事業者向け事前審査制度」
経済安全保障推進法は4つの制度の柱から構成されます。(1) サプライチェーン
の強靭化、(2)民間技術協力に関しては、国からの支援、(3)特許出願の非公開、
そして民間のセキュリティに携わる方に密接に関連すると思われる (4)「特定
社会基盤役務の安定的な提供の確保」という基幹インフラ事業者向け新規導入
設備に対する事前審査制度については、新しい規制に関する法制度と言えます。
◯「基幹インフラ事業者向け事前審査制度とセキュリティ」
2023年11月に、日本の基幹インフラを提供する14分野の業種の中から、211の
事業者が「特定社会基盤事業者」として、その審査対象となる設備である、
「特定重要設備」、「特定重要維持管理」、「構成設備」とともに、各所轄
監督省庁から公示されました。この審査制度は2024年5月17日から運用が開始
されます。
これらの事業者が提供する役務はいずれも日本国家、国民の安全に直結する
事業であり、事業者の提供役務に対し、諸外国からサイバー攻撃を含む特定
妨害行為に事前に防止する手段として義務付けることが目的となります。
経済安全保障推進法は経済安全保障の一部である、またサイバーセキュリティ、
ITセキュリティは推進法全体の一部である、ということを理解する必要があり
ます。
基幹インフラ事業者は導入等計画書、システム概要、システム内容、時期、
構成設備供給者に関する情報として主務省令で定義される情報等を所轄大臣に
提出し、およそ30日の審査を受ける必要があります。
主にサイバー攻撃を含む妨害行為からのリスク措置として提出が求められる
チェック項目を以下にまとめます。
1.製品のコード混入防止、検証体制、脆弱性テスト
2.セキュリティパッチ、不正プログラム対策、脆弱性対応
3.製品開発工程、品質管理、体制
4.製品開発の不正変更に対する定期的確認体制
5.設備開発時の物理アクセス制限、物理設備
6.不正アクセス対策の仕組みの実装
7.不正な変更の防止体制
8.設備への不正変更防止、立入検査協力
9.サービス保証、故障対応、脆弱性対応
10.故障対応、脆弱性対応の代替策
11.マルウェアなどの感染時の事業継続体制、バックアップ、手順化
12.インシデント発生時の対応マニュアル、CSIRT、SOC
13.不正アクセス監視の仕組みの実装
1.3.4.5.は、対象設備に含まれる製品に求められる品質、安全性、サプライ
チェーンに関するリスク管理、2.6.13.は、対象設備に対して求められる
サイバーセキュリティ対策、7.~12.は事業者側のリスク軽減のための組織体制、
事業継続体制、ポリシー、文書、設備、供給者との契約等、となります。
◯「経済安全保障推進法とセキュリティ従事者の役割」
この審査制度の対象となる事業者は限定されており、直近では指定事業者の
システム構築、設備供給、運用に携わる企業関係者に関係性が限定されるもの
かもしれません。ただし、この制度は今後の新しい社会、経済安全保障時代下
のリファレンス、規範になり得ます。日本全体の社会や組織に対して強靭化に
取り組むべきテーマであり、リスク管理、サイバーセキュリティに従事される
方は、この新しい制度を理解し、社内・社外・お客様とこの議論を継続して
いくことに意味があると考えます。
◯「最後に」
とは言え、この制度のサポートに関わる方々はこれまで以上の対応や問い合わ
せ、繰り返しのリクエストに応えるため追加の業務が発生するかもしれません。
この法制度によって事業者のビジネスにブレーキをかけさせることは国として
も不本意なことであると考えています。今後制度対応の効率化のために関係者
でナレッジを共有し、継続的な改善とインプットができればと思います。
https://www.cao.go.jp/keizai_anzen_hosho/index.html
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/5f3vtj29
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★西日本支部今すぐ実践できる工場セキュリティ対策のポイント検討WGが
「今すぐ実践できる工場セキュリティハンドブック・リスク対策編」を公開しました。
図解付きの「リスク対策集」もあります。
https://www.jnsa.org/result/west/index.html
★調査研究部会 組織で働く人間が引き起こす不正・事故対応WG
インタビュー連載「日本の人事と内部不正」
「財務省 における「活きいきと働くための施策」に関するインタビュー」公開しました。
https://www.jnsa.org/result/soshiki/index.html
★情報セキュリティ教育事業者連絡会(ISEPA)JTAGキャリアデザインWGが
「学生のキャリア意識2023年調査速報」を公開しました。
https://www.jnsa.org/isepa/outputs/index.html
【事務局からのお知らせ】
★会員の皆様に2024年度年会費のお知らせを事務局より
順次メールにてお送りさせていただいております。
ご確認・ご対応のほどよろしくお願いいたします。
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第284号
発信日:2024年4月5日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第284号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
シスコシステムズ合同会社
セキュリティ事業 アーキテクト/エバンジェリストJNSA 幹事 木村 滋様に
ご寄稿いただきました。
【連載リレーコラム】
経済安全保障
―新制度「基幹インフラ役務の安定的な提供の確保に関する制度」に関する
セキュリティとの関係性
シスコシステムズ合同会社
セキュリティ事業 アーキテクト/エバンジェリスト
JNSA 幹事 木村 滋
◯「経済安全保障と経済安全保障推進法」
近年の世界経済、日本を取り巻く近接国との地政学の著しい変化が背景となり、
特にここ数年で日本の経済安全保障に関する政策が大きく進展してきました。
「経済安全保障」とは国家が経済的な手段を用いて政治的目標を達成する、
経済的手段によって安全保障を確保する、と定義されます。このための枠組み
として、2022年5月第208回通常国会にて、「経済施策を一体的に講ずることに
よる安全保障の確保の推進に関する法律案」通称:経済安全保障推進法が成立
しました。
◯「経済安全保障推進法枠組みと基幹インフラ事業者向け事前審査制度」
経済安全保障推進法は4つの制度の柱から構成されます。(1) サプライチェーン
の強靭化、(2)民間技術協力に関しては、国からの支援、(3)特許出願の非公開、
そして民間のセキュリティに携わる方に密接に関連すると思われる (4)「特定
社会基盤役務の安定的な提供の確保」という基幹インフラ事業者向け新規導入
設備に対する事前審査制度については、新しい規制に関する法制度と言えます。
◯「基幹インフラ事業者向け事前審査制度とセキュリティ」
2023年11月に、日本の基幹インフラを提供する14分野の業種の中から、211の
事業者が「特定社会基盤事業者」として、その審査対象となる設備である、
「特定重要設備」、「特定重要維持管理」、「構成設備」とともに、各所轄
監督省庁から公示されました。この審査制度は2024年5月17日から運用が開始
されます。
これらの事業者が提供する役務はいずれも日本国家、国民の安全に直結する
事業であり、事業者の提供役務に対し、諸外国からサイバー攻撃を含む特定
妨害行為に事前に防止する手段として義務付けることが目的となります。
経済安全保障推進法は経済安全保障の一部である、またサイバーセキュリティ、
ITセキュリティは推進法全体の一部である、ということを理解する必要があり
ます。
基幹インフラ事業者は導入等計画書、システム概要、システム内容、時期、
構成設備供給者に関する情報として主務省令で定義される情報等を所轄大臣に
提出し、およそ30日の審査を受ける必要があります。
主にサイバー攻撃を含む妨害行為からのリスク措置として提出が求められる
チェック項目を以下にまとめます。
1.製品のコード混入防止、検証体制、脆弱性テスト
2.セキュリティパッチ、不正プログラム対策、脆弱性対応
3.製品開発工程、品質管理、体制
4.製品開発の不正変更に対する定期的確認体制
5.設備開発時の物理アクセス制限、物理設備
6.不正アクセス対策の仕組みの実装
7.不正な変更の防止体制
8.設備への不正変更防止、立入検査協力
9.サービス保証、故障対応、脆弱性対応
10.故障対応、脆弱性対応の代替策
11.マルウェアなどの感染時の事業継続体制、バックアップ、手順化
12.インシデント発生時の対応マニュアル、CSIRT、SOC
13.不正アクセス監視の仕組みの実装
1.3.4.5.は、対象設備に含まれる製品に求められる品質、安全性、サプライ
チェーンに関するリスク管理、2.6.13.は、対象設備に対して求められる
サイバーセキュリティ対策、7.~12.は事業者側のリスク軽減のための組織体制、
事業継続体制、ポリシー、文書、設備、供給者との契約等、となります。
◯「経済安全保障推進法とセキュリティ従事者の役割」
この審査制度の対象となる事業者は限定されており、直近では指定事業者の
システム構築、設備供給、運用に携わる企業関係者に関係性が限定されるもの
かもしれません。ただし、この制度は今後の新しい社会、経済安全保障時代下
のリファレンス、規範になり得ます。日本全体の社会や組織に対して強靭化に
取り組むべきテーマであり、リスク管理、サイバーセキュリティに従事される
方は、この新しい制度を理解し、社内・社外・お客様とこの議論を継続して
いくことに意味があると考えます。
◯「最後に」
とは言え、この制度のサポートに関わる方々はこれまで以上の対応や問い合わ
せ、繰り返しのリクエストに応えるため追加の業務が発生するかもしれません。
この法制度によって事業者のビジネスにブレーキをかけさせることは国として
も不本意なことであると考えています。今後制度対応の効率化のために関係者
でナレッジを共有し、継続的な改善とインプットができればと思います。
https://www.cao.go.jp/keizai_anzen_hosho/index.html
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/5f3vtj29
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★西日本支部今すぐ実践できる工場セキュリティ対策のポイント検討WGが
「今すぐ実践できる工場セキュリティハンドブック・リスク対策編」を公開しました。
図解付きの「リスク対策集」もあります。
https://www.jnsa.org/result/west/index.html
★調査研究部会 組織で働く人間が引き起こす不正・事故対応WG
インタビュー連載「日本の人事と内部不正」
「財務省 における「活きいきと働くための施策」に関するインタビュー」公開しました。
https://www.jnsa.org/result/soshiki/index.html
★情報セキュリティ教育事業者連絡会(ISEPA)JTAGキャリアデザインWGが
「学生のキャリア意識2023年調査速報」を公開しました。
https://www.jnsa.org/isepa/outputs/index.html
【事務局からのお知らせ】
★会員の皆様に2024年度年会費のお知らせを事務局より
順次メールにてお送りさせていただいております。
ご確認・ご対応のほどよろしくお願いいたします。
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第284号
発信日:2024年4月5日
発 行:JNSA事務局 sec@jnsa.org
*************************************