水道分野におけるサイバーセキュリティ対策

 国民生活及び社会経済活動は、様々な社会インフラによって支えられており、その機能を実現するために情報システムが幅広く用いられています。こうした中で、水道を始め、情報通信、電力、金融等、その機能が停止又は低下した場合に多大なる影響を及ぼしかねないサービスは、重要インフラとして官民が一丸となり、重点的に防護していく必要性が増しています。
 政府のサイバーセキュリティ戦略本部において、「重要インフラの情報セキュリティ対策に係る第4次行動計画(平成29年6月)」や「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版)(平成30年4月)」等が策定されました。
 また、厚生労働省水道課では、第4次行動計画に基づき、「水道分野における情報セキュリティガイドライン(第4版)(平成31年3月29日)」を策定し、水道施設の技術的基準を定める省令の一部改正(令和2年4月1日施行)を行いました。
 さらに、令和4年6月17日には、「重要インフラの情報セキュリティ対策に係る第 4 次行動計画」を基本としつつ、重要インフラ分野全体として今後の脅威の動向、システム、資産を取り巻く環境変化に適確に対応できるようにすることで、官民連携に基づく重要インフラ防護の一層の強化を図るべく、「重要インフラのサイバーセキュリティに係る行動計画」が新たに策定されました。

 水道分野におけるサイバーセキュリティ対策の概要[PDF形式:1.16MB][1.2MB]

 重要インフラのサイバーセキュリティに係る行動計画(令和4年6月17日)[PDF形式:1.55MB]
  
 重要インフラのサイバーセキュリティに係る安全基準等策定指針(第1版)(令和5年7月4日)
 [PDF形式:879KB]

水道施設の技術的基準を定める省令の一部改正

 第4次行動計画に基づく情報セキュリティ対策に関する関係法令等の保安規制への対応として、水道施設の技術的基準を定める省令第1条第11の2号において、施設の運転を管理する電子計算機が水の供給に著しい支障を及ぼすおそれがないように、サイバーセキュリティを確保するために必要な措置が講じられたものであることが、水道施設に備えるべき要件として規定されています。
 
 水道施設の技術的基準を定める省令の一部改正について(令和元年9月30日付け薬生水発0930第7号)
 [PDF形式:73MB]
 

水道分野における情報セキュリティガイドライン(第4版)

 厚生労働省水道課では、本ガイドラインを水道分野における情報セキュリティ確保に係る安全基準等として位置付けており、水道事業者において実施することが必要な、又は望まれる情報セキュリティ対策の項目及び水準を示しています。

 水道分野における情報セキュリティガイドライン(第4版)[PDF形式:1.38MB]   
 

関係組織

1)NISCと重要インフラ

 2014年11月に成立したサイバーセキュリティ基本法に基づき、2015年1月、内閣に「サイバーセキュリティ戦略本部」が設置され、同時に、内閣官房に「内閣サイバーセキュリティセンター(NISC:National center of Incident readiness and Strategy for Cybersecurity)」が設置されました。水道事業は、他に代替することが著しく困難なサービスを提供する事業であり、その機能が停止、低下又は利用不可能な状態に陥った場合に、わが国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じる重要インフラに特定されています。
 なお、重要インフラは、「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス(地方公共団体を含む)」、「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野となっています。

  NISCの概要[リンク]
  重要インフラグループ[リンク]

2)セプター

 重要インフラ事業者等の情報共有・分析機能及び当該機能を担う組織を、英語名称(Capability for Engineering of Protection, Technical Operation, Analysis and Response ) の略称として、セプター(CEPTOAR)と呼んでいます。
 具体的には、IT 障害の未然防止、発生時の被害拡大防止・迅速な復旧および再発防止のため、政府等から提供される情報について、適切に重要インフラ事業者等に提供し、関係者間で情報を共有することで、各重要インフラ事業者等のサービスの維持・復旧能力の向上に資する活動を目指しています。水道分野では、公益社団法人日本水道協会が水道セプターとしての役割を担っています。

  セプターカウンシル総会資料(セプターカウンシルの概要)[リンク]
  (セプターカウンシル:各重要インフラ分野で整備されたセプターの代表で構成される協議会)

サイバーセキュリティ対策強化に向けた取組

1)分野横断的演習

 「重要インフラのサイバーセキュリティに係る行動計画」の主要5施策のうち「防護基盤の強化」の中に位置付けられるものであり、実際の事案発生を模擬することにより、重要インフラ行動計画に従って日頃より強化に取り組む障害対応体制が有効に機能するかどうかを確認し、改善につなげていくことを目的として毎年度実施しています。複数の水道事業者の皆様に御参加いただいていますが、NISCは、より多くの水道事業者の参加を呼びかけています。

  分野的横断演習[リンク]

2)サイバーセキュリティ月間

 政府では、サイバーセキュリティに関する普及啓発強化のため、2月1日から3月18日までを「サイバーセキュリティ月間」とし、国民の皆様にサイバーセキュリティについての関心を高め、理解を深めるため、サイバーセキュリティに関する様々な取組を集中的に行っています。

  NISCサイバーセキュリティ・ポータルサイト
   ・2023年サイバーセキュリティ月間[リンク]
   ・2022年サイバーセキュリティ月間[リンク]

報告書、資料等

 令和2年度水道分野におけるサイバーセキュリティ対策(ISAC調査)[PDF形式:1.93MB]