開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2022/03/07

戦争でも狙われる重要インフラ、だが「企業に罰則」を科して意味はあるのか?

ロシアがウクライナへの軍事侵攻を開始し、ウクライナの重要インフラについても物理・サイバーの両面から攻撃を受ける懸念が高まっている。こうした軍事侵攻が起こる直前、2021年末から日経新聞や共同通信らが「政府は重要インフラ事業者がサイバー攻撃を受けた場合に罰則を設けることを検討している」という主旨の記事を掲載していた。セキュリティ関係者の多くはこの報道に違和感を持ったのではないだろうか。攻撃者の罰則強化ならともかく、サイバー攻撃の被害者を罰する意味や効果はあるのだろうか。有事の国際情勢を受け、今後さらに議論が高まる可能性があるので取り上げたい。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
サイバー攻撃の被害に遭った企業に罰則を科すことは意味・効果があるのか?
(Photo/Getty Images)

相次ぐ企業規制強化の記事

 2022年2月24日から開始されたロシアのウクライナへの軍事侵攻は、安全保障および国家支援によるサイバー攻撃に対する意識を今一度再考するきっかけとなっている。特に国民の生活の基礎を支える重要インフラを担う企業にとっては、決して他人事ではないだろう。

 この有事が起こる前、日経新聞は2021年12月20日付けの「重要インフラ、サイバー防衛義務付け」という記事の中で、政府が策定している行動計画に「経済安全保障を重視する方針を盛り込む」と報じた。共同通信は1カ月後の2022年1月22日付けの「サイバー攻撃対策、経営責任に」という記事で「情報漏えいなどによる損害の発生で会社法上の賠償責任を問われる可能性があると示し(以下略)」と報じている。

 どちらの記事も21年の北米パイプラインのサイバー攻撃、国内の地方病院のサイバー攻撃被害を引き合いに出している。7年前のウクライナ大停電(ロシアのサイバー攻撃とされる)や三菱電機・NEC(日本電気)ら国内防衛産業を狙った攻撃事例にも触れている。しかし、記事本文は、それぞれの事例や取材内容、政府方針などを並べているだけで、行動計画の主旨、背景事例との因果関係は明言していない。

 平均的な論理思考を持つ人なら「政府は、国家がからむサイバー攻撃の激化に伴い、安全保障の観点から政府および民間企業を含む重要インフラ関係事業者に罰則を含む規制を考えている」と読み取れる内容になっている。

 また産経新聞は独自情報として、総務省が電気通信事業者の情報管理責任者の解任命令をできる法案が検討されていると報じている(2月3日付け)。これはLINEのユーザー情報が海外データベースに保存されていたことを見据えた対策法案と思われる。

重要インフラセキュリティの行動計画が目指すところ

 日本においてもサイバーセキュリティが、国家安全保障の重要事項であることは論をまたない。ナショナルセキュリティの視点から、民間といえども重要インフラ事業者にはなんらかの規制や規則で守りを強化することに異論はない。むしろもっと議論を深めるべきだろう。

画像
サイバーセキュリティが国家安全保障で重要なのは間違いないが……
(Photo/Getty Images)

 だが、セキュリティ対策を強化する目的で攻撃被害者の罰則を強化することは慎重に考える必要がある。そもそも、上記の記事がいう「行動計画」とは、内閣が進める「重要インフラの情報セキュリティ対策に係る行動計画(案)」のことで、これは、サイバーセキュリティ基本法を根拠とした重要インフラ事業に関するセキュリティ対策の指針を示すものだ。しかも(案)となっているとおり、行動計画を詰めるためのたたき台だ。

 書かれている内容も、ISMSやISO27001といったセキュリティマネジメントで規定されている指針や基準に沿ったもので、安全保障の観点はない。昨今のサイバー攻撃事情と重要インフラが置かれている状況を踏まえて、経営層のコミットメント、サプライチェーンへの対策、業界の情報共有、特にインシデント対応体制の強化など細則・各論が強化されているが、言ってしまえば、IPAが中小企業向けに公開している「中小企業の情報セキュリティ対策ガイドライン」などと本質部分は変わらない。

【次ページ】規制や罰則強化で統制を図る愚

政府・官公庁・学校教育IT ジャンルのトピックス

政府・官公庁・学校教育IT ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!