基幹インフラのサイバーセキュリティ保護

サプライチェーンに関するリスクのうち、2022年5月に成立した経済安全保障推進法で注目されているのは、重要設備の導入・維持管理に関するサイバーセキュリティ面である。この場合の重要設備とは、機器や装置だけでなく、プログラムやクラウドサービス、委託先なども含んでいる。

同法の「基幹インフラ役務の安定的な提供の確保に関する制度」では、電力・ガス・水道など基幹インフラ役務の導入・維持管理などを委託する際は計画書の事前届け出と審査を行い、審査結果によっては必要な措置に関する勧告・命令を行うと規定している。これは役務の安定的な提供を妨害する行為の手段として重要設備が悪用されるおそれがあるためだとされている。

具体的なリスクとしては、製品の製造・流通過程における不正機能の埋め込みや改ざん、政治経済情勢に起因する機器やサービスの供給途絶などが想定されている。

サプライチェーンに関するリスクについては諸外国でも対応が進められている。米国では2019年5月、「情報通信技術・サービス（ICTS）のサプライチェーン安全確保」の規則に関する大統領令が署名された。同規則では、過度もしくは容認できないリスクをもたらすと認められるICTS取引の中止やリスク軽減措置を行えるとしている。

欧州委員会は「ネットワークおよび情報システムのセキュリティに関する指令（NIS指令）」改訂を2020年12月に提案し、企業によるサプライチェーンセキュリティ対策の強化などを後押ししている。ドイツは2021年5月に「ITセキュリティ法2.0」を施行し、重要インフラの部品使用に関する事前届け出制を導入した。

日本でも経済安全保障推進法により、経済安全保障面から国が関与するインフラ保護の仕組みが整備された。すなわち、事業者などによる自主的な取り組みに加え、安全保障の観点から国家主導の取り組みが強化されたことになる。

とはいえサプライチェーンの実態把握と安全性確保は容易ではない。リスクの判断においても、外国政府が支援する組織的な攻撃などの動向を事業者が継続的に把握・分析し続けることには限界がある。技術的にも、例えば不正機能といっても、悪意をもって埋め込まれたのか過失によるのか、もともと必要な機能なのかの判別は難しい。

ソフトウエアにおいては、導入時に安全性を確認したとしても、運用中に脆弱（ぜいじゃく）性が発見されることもある。このためソフトの種類と脆弱性に関する情報の把握が必要となる。しかし、構成情報の把握は難しい。一部の産業では部品表であるSBOM^※1の活用が検討され始めたものの、導入は進んでいない。

また、脆弱性を修正するためのソフト更新機能が悪用されて、逆に不正なプログラムが導入されるリスクもある。導入後の監視や適時の点検も検討する必要がある。