経済安全保障推進法とは?経済安保を支える企業のサイバーセキュリティ対策
はじめに
各国で注目される「経済安全保障」の概念
参考:内閣府 経済安全保障推進法
https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/suishinhou.html
経済安全保障推進法とは?
経済安全保障推進法は2022年(令和4年)5月11日に成立、5月18日に公布されました。その後段階的に制度の運用が開始され、現在では経済安全保障推進法のすべての制度が実施されています。経済安全保障推進法は、次の4つの制度から成っています。
制度1:重要物資の安定的な供給の確保
国民の生存や生活、経済活動に欠かせない重要な物資を「特定重要物資」として指定し、それらの物資に関するサプライチェーンの強靭化を図る制度です。実際には、特定重要物資の安定供給確保に取り組む民間事業者などを支援します。
特定重要物資は、抗菌性物質製剤、肥料、永久磁石、工作機械・産業用ロボット、航空機の部品、半導体、蓄電池、クラウドプログラム、可燃性天然ガス、重要鉱物、船舶の部品、先端電子部品の12物資です。認定を受けた企業は、助成や融資を受けることができます。
制度2:基幹インフラ役務の安定的な提供の確保
国が基幹インフラの重要な設備を外部からの妨害から守り、安定的な提供ができるよう取り組む制度です。国が基幹インフラ事業を「特定社会基盤事業」として、一定の基準に該当する事業者を「特定社会基盤事業者」として指定します。特定社会基盤事業となるインフラの分野は、電気、ガス、水道など15種類です(後述)。特定社会基盤事業者は特定重要設備の導入や維持管理の委託をする際、事前に届出を行って審査を受けることになります。
制度3:先端的な重要技術の開発支援
将来の国民生活や経済活動に重要な先端的な技術のうち特に、外部に不当に利用されると国家・国民の安全を損なう恐れのあるものを「特定重要技術」と定義します。この制度は、特定重要技術の研究開発の促進や成果の活用を支援するべく、基金の設置や調査研究業務の委託などを行うものです。
制度4:特許出願の非公開
特許出願に関わる手続きを非公開とする制度です。通常、特許出願にあたってはその技術が公になりますが、公になることで外部から何らかの行為を受けて国や国民の安全を損なう恐れもあります。そのような事態を避けるのが、この制度の目的です。
「保全指定」という手続きによって、出願公開や特許査定などの手続きを留保し、内容の公開や発明の実施を禁止します。特許出願の非公開が行える技術分野は、「航空機等の偽装・隠ぺい技術」、「武器等に関係する無人航空機・自律制御等の技術」など25種類です。
基幹インフラ事業者と委託者に求められる安全確保
基幹インフラ事業者の対象分野
国が指定する「特定社会基盤事業」の対象分野は下記の通りとなっています。
(※)港湾運送については、令和6年5月17日に港湾運送分野を追加する改正法が公布されました。公布日から起算して1年6か月を超えない範囲内において政令の定める日から施行される予定です。
また15業種200超の事業者名についても、既に公開されています。
参考:経済産業省 経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について
https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/infra/doc/infra_gaiyou.pdf
重要設備の導⼊・維持管理等の委託に関する届出対象範囲
基幹インフラ事業者(特定社会基盤事業者)は、事業を所管する省の大臣へ、重要設備の導⼊・維持管理等の委託に関する計画書の事前届出が必要となります。
引用:経済産業省 経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について
https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/infra/doc/infra_gaiyou.pdf
上図の赤枠で囲われた箇所が、届出が必要な範囲です。
「特定重要設備の導入」および「重要維持管理等の委託」における届出事項は、「リスク管理措置」が共通します。リスク管理措置とは、外部からの悪意ある攻撃を防ぐためのテストや体制の整備、故障対応、法令遵守などといった対策です。
サプライチェーンを狙うサイバー攻撃が活発化している昨今においては、基幹インフラ事業者だけでなく、その委託先の企業もセキュリティ対策が必要です。サプライチェーン攻撃では、セキュリティ対策が強固な企業ではなく、サプライチェーンを構成するセキュリティ対策が手薄な関連企業が狙われます。
参考コラム:いま警戒すべきサプライチェーン攻撃とは?手口や実例、対策を解説 |
インフラを支える企業のサイバーセキュリティ対策
リスク管理措置のうち、企業が行うべきサイバーセキュリティ対策について例を挙げます。
脆弱性テスト(脆弱性診断)の導入
脆弱性テスト(脆弱性診断)とは、OSやソフトウェア、サーバー、ネットワークに脆弱性があるかどうかを診断するテストです。攻撃者の目線に立って情報システム全般を検証し、問題点を洗い出します。そこで挙げられた問題点から、対策を講じることが可能です。
セキュリティパッチの適用、不正プログラム対策ソフトウェアの最新化
セキュリティパッチとは、OSやソフトウェアの脆弱性や不具合修正のためにベンダーから配布されるプログラムのことです。導入する設備に最新のセキュリティパッチを適用し、さらに不正プログラム対策ソフトウェアも最新の状態にアップデートし、定期的な資産管理を行います。
品質保証体制の確立
設備の製造工程において、品質保証を行える体制を確立します。納品後も安心して製品を使用できるようにすることが、第一の目的です。
通信の監視、不正な通信の検知
ネットワーク内の通信を監視し、不正な通信を検知し遮断する仕組みを導入します。
通信を監視し、不正なアクセスを検知するシステムとしてIDS(Intrusion Detection System:不正侵入検知システム)、検知した不正アクセスをブロックするIPS(Intrusion Prevention System:不正侵入防止システム)、Webアプリケーションへの通信を監視し不正通信を遮断するシステムとして、WAF(Web Application Firewall)があります。
参考コラム:WAFとは?ファイアウォールとの違いや仕組み、導入ポイントを解説 |
アクセス制限
不正な通信を行うIPアドレスや国・地域に対して、アクセス制限を行います。また外部からの不正アクセスだけでなく、社内・委託先企業が定めた要員以外がアクセスできないよう適切な制限を行います。
ランサムウェア等に感染した場合にインフラ供給を止めない仕組みづくり
ランサムウェアやその他マルウェアといったウイルスの侵入を完全に防ぐことは、事実上不可能です。したがって、感染することを前提として、データ保護やバックアップ、原因究明に使用するログの保存などインフラの供給を止めない仕組みが必要となります。
情報セキュリティインシデントが発生した場合の対応方針・体制
さまざまな情報セキュリティインシデントに対応できる方針や体制を整えます。対応方針・体制を検討するにあたっては、独立行政法人情報処理推進機構(IPA)やJPCERT/CCなど各団体が提供している、無償のガイドラインやツールを参考にするとよいでしょう。
セキュリティ教育
社員のリテラシー不足が、重大なセキュリティ事故につながる可能性もあります。サプライチェーンを悪用した「サプライチェーン攻撃」が注目されていますが、同時に「内部不正」も昨今の脅威となっています。情報システムの対策にとどまらず、社内外すべての関係者がセキュリティ意識を向上することも重要です。
参考コラム:セキュリティ教育とは?従業員のセキュリティリテラシーを高める方法 |
まとめ
「経済安全保障対策会議・展示会 ECONOSEC JAPAN 2024」に、アクセリアが出展いたしました。
参考コラム:【出展レポート】ECONOSEC JAPAN 2024(経済安全保障対策会議・展示会)に出展しました |
また、「セキュリティ教育で強化!サプライチェーン」と題し、サプライチェーン攻撃対策に有効なセキュリティ教育についてセミナーを行いました。
セミナーはアーカイブ動画を無料公開しておりますので、どうぞご覧ください。
<こんな課題をお持ちの方へ>
・サプライチェーンセキュリティの重要性について知りたい
・対象者毎(経営層や取引先)のセキュリティ教育内容を確認したい
・現在行っているセキュリティ教育に不足を感じている
<セミナー内容>
・サプライチェーン攻撃対策に有効なセキュリティ教育とは?
・経営層、管理職、従業員、取引先(子会社等)の4つの
対象者毎に異なる教育内容
・従来の卓上教育とは異なる新たな教育方法【模擬プラント】で
危機感や認知の向上を
アクセリアでは、経済安全保障推進法への取り組みに役立つ、サイバーレジリエンスソリューションをご提供しています。
サイバー攻撃やシステム障害による機会損失のリスクを最小化するだけではなく、顧客のUX(User Experience)を高め、収益機会を最大化するための最適なサービスを、お客様の課題に合わせてご提案します。
サイバーセキュリティ上の課題の洗い出しや対策、サポートなどが必要となる際は、アクセリアまでお問い合わせください。
参考サイト
経済安全保障|内閣府
https://www.cao.go.jp/keizai_anzen_hosho/
サプライチェーン強靱化の取組(重要物資の安定的な供給の確保に関する制度)|内閣府
https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/supply_chain/supply_chain.html
経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について|内閣府
https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/infra/doc/infra_gaiyou.pdf
先端的な重要技術の開発支援に関する制度|内閣府
https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/technology/technology.html
特許出願の非公開に関する制度|内閣府
https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/patent/patent.html
特定技術分野と付加要件|内閣府
https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/patent/doc/tokutei_gijutsu_bunya.pdf
経済安全保障推進法の概要|内閣府
target="_blank">https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/doc/gaiyo.pdf
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
平日09:30 〜 18:00
Free Service