内閣サイバーセキュリティセンターは2018年7月25日に開いた会合で、重要インフラがサイバー攻撃を受けて障害をきたしたときに、社会に与える影響を評価する5段階の基準を導入すると決定した。これは、障害が与えた影響の深刻さを事後に評価して、政府、業者、国民などが共通の認識を持って、冷静に対応できるようにすることを狙ったものだ。
表 重要インフラへのサイバー攻撃の影響を評価する5段階の基準
深刻度 | 重要インフラサービス障害などによる 国民社会への影響 |
レベル4 (危機) |
サービスの持続性またはサービスに関する安全性に、著しく深刻な影響が発生 |
レベル3 (高) |
サービスの持続性またはサービスに関する安全性に、大きな影響が発生 |
レベル2 (中) |
サービスの持続性またはサービスに関する安全性に、一定の影響が発生 |
レベル1 (低) |
サービスの持続性またはサービスに関する安全性に、ほぼ影響なし |
レベル0 (なし) |
サービスの持続性またはサービスに関する安全性に、影響なし |
出所 内閣サイバーセキュリティセンター
5段階の基準は、「サービスの持続性への影響」「サービスに関する安全性への影響」「サービスに対する信頼低下の程度など」の3つの観点に分けて、それぞれ深刻度を5段階で評価して最も高い値を全体的な深刻度と決定する。
持続性への影響の観点では、サービス障害の範囲や時間がどれほどであったか、代替可能なサービスがあったか、同時多発的に発生したものであったかなどの点を評価する。安全性への影響の観点では、サービス障害による人的・物的被害、純民避難、環境への影響の程度などに合わせて、同時多発的であったかを評価する。信頼低下の程度などの観点では、情報漏えいによるものなど、サイバー攻撃によってサービス提供者やサービス自体に対する信頼性低下の程度などを評価する。この観点のみ、レベル0~レベル3の4段階評価となる。
今回公開した基準はあくまで「初版」であり、今後もサイバー攻撃によるサービス障害が発生した時点での社会への影響を予測し、政府の対応を判断する基準として活用することも検討するとしている。また、サイバー攻撃が他国を発信源とすることも多いことから、評価基準を世界的に整合が取れたものにするよう活動することも計画している。
■リンク
内閣サイバーセキュリティセンター