◆国家的課題に位置付け/企業各部門が役割分担
◇稲垣隆一氏(弁護士・内閣サイバーセキュリティセンター重要インフラ専門調査会委員)
電力事業では従来堅固とされてきた制御系システムも、サイバー攻撃のリスクにさらされている。電力市場の自由化に伴うシステムの変更や取引参加者の多様化も進んでおり、サイバー攻撃を受けた際に大きな混乱へつながる可能性がある。
そうした現実を前に法律はどう動いているか。2014年に制定されたサイバーセキュリティ基本法によって、「サイバーセキュリティ」は法的概念となり、官民が協力して実現すべき国家の課題にまで高めた。これに基づくNISC(内閣サイバーセキュリティセンター)の第4次行動計画は重要インフラサービスの「機能保証」を求めている。
企業は経営課題として、機能保証のため対策を講じる法的義務を負うことになった。現状は電気事業法には、保安規程を含め「サイバーセキュリティ」を定めた明文はない。しかし、法の目的・対象、特に今回のシステム改革による変化を踏まえればサイバーセキュリティー対策は、電気工作物の保安、発電・ネットワーク・小売事業者、取引市場、広域機関を結ぶ情報資産も、IT・OTを問わず、広く対象としなければならない。
16年には電力システムとスマートメーター(次世代電力量計)のセキュリティーガイドラインが保安規程・技術基準の解釈基準に位置付けられている。
企業がサイバーセキュリティーに取り組む戦略目標を機能保証とする以上、問題を経営層で議論することが絶対に必要だ。担当取締役を置き、対策費を予算項目に組み込んで残留リスクを把握する。そのために信頼に足る情報を収集できる体制を構築することが出発点になる。
企画部門は役員の活動を支える戦略をつくり、サイバーセキュリティー対策を投資として考える。リスク管理部門は合理的なリスク評価や、そのための資料を収集できる能力を備えてほしい。法務部門では顧問法律事務所と連携し、専門性のある弁護士を鍛えていくことも重要だろう。
人事では人材育成のため、パートナー企業を含めたキャリアパスの合理化や教育・訓練が重要。経理・財務ではサイバーセキュリティー対策の投資を可視化する。投資の有効性を確保する上では、対外発信や事故時の対応などの広報戦略も非常に重要となる。
