経済安全保障推進法に対応するITマネジメントとは

(English follows)

国際情勢の複雑化や社会経済構造の変化により、経済分野においても安全保障を確保すべきという機運が高まっています。数年前より政府で議論が始まり、いよいよ本年2024年5月17日に経済安全推進法が施行されることになりました。この法律の趣旨は経済活動に関して行われる国家及び国民の安全を害する行為を未然に防ぐために、以下の４つの制度を創設するものです。

（１）  重要物資の安定的な供給の確保

（２）  基幹インフラ役務の安定的な提供の確保

（３）  先端的な重要技術の開発支援

（４）  特許出願の非公開

この中でも、特にITマネジメントに深く関係するのが「（２）基幹インフラ役務の安定的な提供の確保」です。国が基幹インフラ事業（特定社会基盤事業）を定め、一定の基準に該当する事業者を特定社会基盤事業者として定め、国が定めた重要設備（特定重要設備）の導入・維持管理等の委託をしようとする際に、事前に届出を行い、審査を受ける、という制度です。対象分野としては、電気・ガス・石油・水道・鉄道・貨物自動車運送・外航貨物・航空・空港・電気通信・放送・郵便・金融・クレジットカードの14業種が指定され、200を超える企業・団体が特定社会基盤事業者として指定されています。

指定を受けた企業・団体が特定重要設備の導入や維持管理等の委託をしようとする際に、事前に事業所轄大臣に導入等に関する計画書の届出を行い、審査を受ける必要があります。審査の結果、妨害行為の手段として使用される恐れが大きいと認められた場合は、必要な措置を講じた上で設備導入等を行うことなどを勧告されることがあります。

計画書に含めるべき項目は多岐に渡りますが、例えば、委託先の役員の国籍や、ハードウェア・ソフトウェア等の資源を製造する工場や事業場の所在地などを報告しなければなりません。また、大きな比重を占めるのが、特定妨害行為を防止するための措置（リスク管理措置）に係る事項です。特定妨害行為とは、特定重要設備の機能を停止・低下させることにより特定社会役務の安定的な提供を妨害する行為を指し、ウィルス感染や不正アクセスといったサイバー攻撃などの電磁的な方法によるものだけでなく、物理的な方法によるものも該当し得ます。

リスク管理措置は大きく分けて、（ア）特定重要設備を導入する場合、（イ）特定重要設備の重要維持管理等を委託する場合、に分類されます。IT業界の用語を使えば、ITシステムの構築（ア）と運用（イ）ということになります。リスク管理措置は構築・運用それぞれで６つの類型が定義されています。リスク管理措置の例としては以下のようなものがあります。

• 最新セキュリティパッチが適用されているか否か、不正プログラム対策ソフトウェアを最新化しているか否か等を実装していることを確認している。

• 定められた要員以外がアクセスできないよう、アクセス可能な要員を物理的（監視カメラ等の入退室管理等）かつ論理的（データやシステム等へのアクセス制御）に適切に制限することを確認している。

• 操作ログや作業履歴等の保管に関する手順およびその確認に関する手順が明確にされており、当該操作ログや作業履歴等の確認等により不正な変更の有無を定期的または随時に確認することについて確認している。

• 故障対応や脆弱性対応等が十分に講じられていることを確認している。

• ランサムウェアに感染した場合等の不正な妨害が行われたときであっても役務の提供が継続できる体制（バックアップの取得・隔離管理・復旧手順の明確化・具体化、代替設備との交換等）について、自ら整備している。

• 委託先や再委託先の相手方がサイバーセキュリティに関する教育や研修を定期的に実施し、サイバーセキュリティリテラシーの維持向上に努めていることを確認している。

こうしてリスク管理措置を見てみると、多くがサイバーレジリエンシーに係る項目であることがわかります。特定社会基盤事業者として指定されている企業・団体では、サイバーレジリエンシーにおける技術的・人的な対策は取られていると思います。しかしながら、実際には、それぞれの管理策は個別のツール等で管理されており、すべての証跡を集めて、相関関係も見ながら、リスク管理措置が着実に実施されている、と証明するには多大な工数と時間が必要ではないでしょうか？また、リスク管理措置は計画書の提出時に一度だけ評価すれば良いという誤解があるのではないでしょうか？当該法の趣旨から鑑みれば、ある時点だけの評価だけで良いというわけにはいきません。継続的に管理措置が適切に実行されることによって、サイバー攻撃をはじめとする特定妨害行為から特定重要設備が保護されることになるからです。

サイバーセキュリティ対策のような技術的管理措置から、委託先管理のような人的管理措置まで広範囲な管理措置を継続的に維持するためには、多大な工数と時間が必要になります。また、人手による監視や情報収集では、どうしても漏れや間違いが起こります。そこで提案したいのは、機械的にリスク管理措置をはじめとする防御策の証跡を収集し分析することです。サイバーセキュリティに通ずる様々な製品やサービスを導入していると思いますが、それらのツールが集めた情報はあくまで個々のツールの中に蓄積されています。これらを人手で収集しレポートするのではなく、機械（ソフトウェア）に実行させるのです。これらのデータを幅広く徹底的に収集し、機械学習や分析技法を用いることで、相互のデータの意味合いを理解し、より高い次元で特定重要設備を妨害行為から保護することが可能になります。

このようなデータ収集・分析基盤は、様々な製品・サービス、あるいはオープンソースソフトウェアを組み合わせることで実現できます。ただ、企業や団体独自の閉じた世界でのデータ収集・分析には限界があります。サイバーセキュリティ業界では、業界横断でインシデント情報や対策の共有を図る方向に変化しています。つまり、自組織だけではなく業界横断的な情報連携が欠かせないということです。

そこで期待されるのが、上記データ収集・分析基盤を複数のユーザーで共有できる統合プラットホーム（IPaaS: Integrated Platform as a Service）を活用することです。統合プラットホームを使用することで、他組織で起きている事象や対策を自組織の知見として活用することができるようになります。昨今サイバー攻撃によって業務が数日間にわたって停止するような事象が連日報道されています。他組織で起きたことは自組織でも起こる可能性はとても高いと言えるでしょう。そうならないためにも統合プラットホームを活用し、多くの組織で協力的に防御するという考え方が欠かせないのです。

（参考文献）

1. 経済安全保障推進法の概要, 内閣府, https://www.cao.go.jp/keizai_anzen_hosho/doc/gaiyo.pdf

2. 経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について（令和６年３月４日時点）, 内閣府, https://www.cao.go.jp/keizai_anzen_hosho/doc/infra_setsumeikai.pdf

3. 特定社会基盤事業者として指定した者（令和６年２月15日時点）, 内閣府, https://www.cao.go.jp/keizai_anzen_hosho/doc/infra_jigyousya.pdf

4. 経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度の解説（令和６年３月29日時点）, 内閣府, https://www.cao.go.jp/keizai_anzen_hosho/doc/infra_kaisetsu.pdf

What is IT management in response to the Economic Security Promotion Act?

Due to the increasing complexity of the international situation and changes in the socio-economic structure, there is a growing momentum to ensure security in the economic field as well, and the government began discussions several years ago, and the Economic Security Promotion Act will finally come into effect on May 17, 2024. The purpose of this law is to establish the following four systems in order to prevent acts that harm the security of the state and the people in relation to economic activities.

（1）     Ensuring stable supply of important assets

（2）     Ensuring the stable provision of critical infrastructure services

（3）     Support for the development of cutting-edge critical technologies

（4）     Non-disclosure of patent applications

Among these, one that is particularly closely related to IT management is "(2) Ensuring the stable provision of core infrastructure services." This is a system in which the government defines a core infrastructure project (specified social infrastructure project), designates a business operator that meets certain criteria as a specified social infrastructure business, and submits a notification in advance when entrusting the introduction, maintenance, etc. of important facilities (specified important facilities) specified by the government to the government. Fourteen industries have been designated as target sectors: electricity, gas, oil, water, railways, freight and automobile transportation, ocean-going cargo, aviation, airports, telecommunications, broadcasting, postal services, finance, and credit cards, and more than 200 companies and organizations have been designated as Specified Social Infrastructure Operators.

When a designated company or organization intends to outsource the introduction or maintenance of specified important equipment, it is necessary to notify the minister in charge of the business site in advance of a plan for introduction, etc., and undergo an examination. If, as a result of the examination, it is recognized that there is a high risk of being used as a means of sabotage, it may be recommended to take necessary measures before introducing equipment.

There are a wide range of items that should be included in the plan, but for example, the nationality of the director of the contractor and the location of the factory or business site where resources such as hardware and software are manufactured must be reported. In addition, a large proportion of the items are related to measures to prevent specific obstruction (risk management measures). Specified sabotage refers to the act of interfering with the stable provision of specified social services by stopping or degrading the function of specified important facilities, and can be applied not only by electromagnetic methods such as cyber attacks such as virus infection and unauthorized access, but also by physical methods.

Risk management measures can be broadly classified into (a) cases in which the introduction of specified important equipment and (b) cases in which important maintenance and management of specified important equipment is outsourced. To use the terminology of the IT industry, it is the construction (a) and operation (b) of IT systems. Six types of risk management measures are defined for construction and operation. Examples of risk management measures include:

l  We have confirmed that the latest security patches have been applied, that the anti-malware software has been up-to-date, etc.

l  It has been confirmed that the personnel who can access the facility will be appropriately restricted physically (e.g., access control of surveillance cameras, etc.) and logically (control of access to data, systems, etc.) so that only those who are designated can access the room.

l  The procedures for storing operation logs and work histories, etc., and the procedures for confirming them, have been clarified, and it has been confirmed that the existence of unauthorized changes is to be confirmed regularly or at any time by checking the operation logs and work history, etc.

l  We have confirmed that sufficient measures are being taken to respond to failures and vulnerabilities.

l  We have established a system that allows us to continue to provide services even in the event of unauthorized interference such as in the event of ransomware infection (acquisition of backups, isolation management, clarification and concretization of recovery procedures, replacement with alternative equipment, etc.).

l  We have confirmed that the contractors and subcontractors regularly provide education and training on cyber security and strive to maintain and improve cybersecurity literacy.

If we look at risk management measures in this way, we can see that many of them are related to cyber resiliency. I believe that companies and organizations that have been designated as Specified Social Infrastructure Businesses have taken technical and human measures for cyber resiliency. However, in reality, each management measure is managed by individual tools, etc., and it takes a lot of man-hours and time to prove that risk management measures are being steadily implemented while collecting all the evidence and looking at the correlations. Also, there may be a misconception that risk management measures only need to be evaluated once at the time of submission of the plan. In view of the purpose of the law, it is not enough to evaluate only a certain point in time. This is because the proper implementation of continuous management measures will protect specified critical facilities from cyberattacks and other acts of sabotage.

A great deal of man-hours and time are required to continuously maintain a wide range of management measures, from technical control measures such as cyber security measures to personnel management measures such as outsourced management. In addition, manual monitoring and information gathering inevitably lead to omissions and mistakes. Therefore, I would like to propose that we mechanically collect and analyze the evidence of defensive measures, including risk management measures. I think that various products and services related to cyber security have been introduced, but the information collected by these tools is accumulated in each tool. Rather than manually collecting and reporting these information, we let a machine (software) execute them. By collecting this data broadly and thoroughly, and using machine learning and analytical techniques, it is possible to understand the implications of each other's data and protect certain critical equipment from sabotage at a higher level.

This kind of data collection and analysis platform can be realized by combining various products and services, or open source software. However, there are limits to the data collection and analysis that companies and organizations can do in their own closed world. The cybersecurity industry is shifting to sharing incident information and countermeasures across industries. In other words, it is essential to collaborate not only on your own organization but also across industries.

Therefore, it is expected to utilize an integrated platform (IPaaS: Integrated Platform as a Service) that can share the above data collection and analysis infrastructure with multiple users. By using an integrated platform, you will be able to use the knowledge of your own organization to take advantage of events and countermeasures that are occurring in other organizations. In recent years, there have been daily reports of cyberattacks that have halted operations for several days. It can be said that what happens in other organizations is very likely to happen in your own organization. In order to prevent this from happening, it is essential to use a unified platform and have a cooperative defense mindset among many organizations.

(References)

l  Introduction of Economic Security Promotion Act, Cabinet Office, https://www.cao.go.jp/keizai_anzen_hosho/doc/gaiyo.pdf

l  System for Ensuring the Stable Provision of Specified Social Infrastructure Services under the Act on Promotion of Economic Security (as of March 4, Reiwa 6), Cabinet Office, https://www.cao.go.jp/keizai_anzen_hosho/doc/infra_setsumeikai.pdf

l  Persons designated as Specified Social Infrastructure Operators (as of February 15, Reiwa 6), Cabinet Office, https://www.cao.go.jp/keizai_anzen_hosho/doc/infra_jigyousya.pdf

l  Explanation of the System for Ensuring the Stable Provision of Specified Social Infrastructure Services under the Economic Security Promotion Act (as of March 29, Reiwa 6), Cabinet Office, https://www.cao.go.jp/keizai_anzen_hosho/doc/infra_kaisetsu.pdf