行動計画の基本的考え方・要点
1. 「重要インフラ防護」の目的
重要インフラにおいて、任務保証の考え方を踏まえ、
①重要インフラサービスの継続的提供を不確かなものとする自然災害、管理不良、サイバー攻撃や、重要インフラを取り巻く環境変化等をリス
クとして捉え、リスクを許容範囲内に抑制すること
②重要インフラサービス障害に備えた体制を整備し、障害発生時に適切な対応を行い、迅速な復旧を図ること
の両面から、強靱性を確保し、国民生活や社会経済活動に重大な影響を及ぼすことなく、重要インフラサービスの安全かつ持続的な提供を
実現すること。

2. 関係主体の責務
関係主体の責務は、サイバーセキュリティ基本法(平成26年法律第104号)を基本とする。
国は、サイバーセキュリティに関する総合的な施策を策定し、及び実施する。
地方公共団体は、サイバーセキュリティに関する自主的な施策を策定し、及び実施する。
重要インフラ事業者は、サービスを安定的かつ適切に提供するため、サイバーセキュリティの重要性に関する関心と理解を深め、自主的か
つ積極的にサイバーセキュリティの確保に努める。
• サイバー関連事業者その他の事業者は、その事業活動に関し、自主的かつ積極的にサイバーセキュリティの確保に努める。
•
•
•
•

3. 基本的な考え方
• 重要インフラを取り巻く情勢は、システム利用の高度化、複雑化、サイバー空間の脅威の急速な高まりを受け、重要インフラ事業者等に
おいては、経営層、CISO、戦略マネジメント層、システム担当者を含めた組織全体での対応を一層促進する。特に、経営の重要事項
としてサイバーセキュリティを取り込む方向で推進する。
• 自組織の特性を明確化し、経営層からシステム担当者までの各階層の視点を有機的に組み合わせたリスクマネジメントを活用し、自組
織に最も適した防護対策を実施する。
• 重要インフラを取り巻く脅威の変化に適確に対応するため、サプライチェーン等を含め、将来の環境変化を先取りした包括的な対応を実
施する。

4. 障害対応体制の強化に向けた取組

• リスクマネジメントによる事前対応と危機管理の組合せにより、障害対応体制を強化する。
• 組織におけるサイバーセキュリティに対する経営者と専門組織の関係を明確にし、経営の重要事項としてサイバーセキュリティを取り込む。
• サイバーセキュリティの確保には、サイバーセキュリティ基本法第2条の定義を踏まえ、外部からの攻撃のみならず、システム調達、設計及び
運用に関係する事象を含め対応できるよう障害対応体制を整備・運用する。

別添５ - 4 -