門松貴

お答えいたします。 　政府においては、サイバーセキュリティ基本法に基づくサイバーセキュリティ戦略、これに位置付けられているように、被害組織の状況を踏まえつつ、官民を含む関係者からの情報収集と被害の全体像の把握に努めております。 　特に我が国の組織に対してランサムウェア等のサイバー攻撃が行われた場合につきましては、先生御指摘のとおり、関係府省と連携しつつ迅速に状況を確認しまして、攻撃の特性また深刻度等に応じまして、被害の更なる拡大や深刻化を防ぐために必要な情報提供、注意喚起を行っているところでございます。 　政府といたしましては、まず、昨年五月に、失礼しました、本年五月に成立いたしましたサイバー対処能力強化法を踏まえつつ、我が国の企業に対するサイバー攻撃などのサイバー空間の状況把握、これに努めてまいります。さらには、ランサムウェア攻撃の実態について、警察庁等の関係府省と十分協力して実態

お答えいたします。 　過去に国内外で発生した事案を踏まえますと、被害組織の従業員が使用するパソコン、汎用的なパソコンが侵害されたことを皮切りに、組織内に感染が拡大する可能性があるということも事実でございます。こうしたこのような感染拡大リスクの高さは、例えば、そうした汎用的なパソコンが、システム構成上、基幹インフラ事業を行う上で最も重要である特定重要設備、これとどの程度隔離されているのか、離れているのかといったシステム特性に依存してしまうということが考えられるわけであります。 　この上で、特定重要電子計算機の具体的な範囲であったり、汎用的なパソコンが含まれる場合については、今後これ、業界ごとのシステム特性を十分踏まえて検討することになりますので、現時点で断定することはできないわけでございますが、例えば発電所や浄水場などにおいて基幹的なインフラ設備を直接制御するシステムに汎用的なパソコンが

お答えいたします。 　先生御指摘のとおり、今後その基幹インフラ事業者による届出や報告等の具体的な制度設計を行うに当たっては、実務に携わる現場の方や有識者から御意見を伺って実情に即した制度設計、これは極めて重要なんだろうというふうに認識をしております。 　まず、本法案を策定するに当たっては、これまでも関係省庁、電力であれば経済産業省、資源エネルギー庁と緊密に連携をした上で、有識者会議であったりとか個別の意見交換の場を通じまして、電力ＩＳＡＣさんを始め様々な御意見をいただいてこういった形で議論を進めてきたところでございます。また、私ども内閣サイバーセキュリティセンターでは、昨年七月には対処・外部連携ユニットを設けて、現場の皆様との連携体制を強化をさせていただきました。 　こうした取組を踏まえまして、今年三月には、中小企業を含む経済団体からも本法案について経済界の意見を踏まえた内容となって

お答えいたします。 　政府からの情報提供の在り方、これは受け手となる事業者の利便性や意向を強く反映する必要がございます。 　その意味で、有識者会議等において、御指摘ありました電力ＩＳＡＣさんとかにもお話を伺って検討を進めているわけでございますが、一方で、これ例えばサイバー攻撃は、大量の通信を送り付けてホームページの閲覧を不可能にするＤＤｏＳ攻撃とか、こういうものはすぐにサイバー攻撃だと分かります。一方で、長期間にわたり被害組織のシステムに潜伏し、検知されないようにしながら情報窃取を行う高度な攻撃など、すぐにはサイバー攻撃だか分からないというようなものまで様々あります。その場合によって対応は異なるわけでございます。 　例えば、停電が起きてすぐサイバー攻撃だと分かる場合もありますし、停電が起きて原因を究明していってやっとサイバー攻撃だと分かる場合もある。その場合によって行動が変わるわけで

お答えいたします。 　御指摘のとおり、有識者会議において、電力ＩＳＡＣさんからは、業法における報告義務等と整合を取るべきとの御意見をいただいております。 　具体的には、電気事業法では停電など電力の供給支障等が発生した場合に報告を求めているのに対して、本法案では事業者がサイバー攻撃の発生を認知した場合に報告を求めるという形になっています。 　このため、例えばサイバー攻撃により停電が発生した場合に両方の法律が適用される可能性があることから、電力ＩＳＡＣさんからは、サイバー攻撃に関する報告窓口の一元化や政府内での省庁間の密な連携などについて御要望をいただいておるというところでございまして、この新法における具体的な報告対象や方法、今後、専門家や事業者の皆様の御意見を聞きながら丁寧な制度設計を行っていく考えですが、その際、関係省庁と協力し、報告窓口の一元化等についても取り組んでまいります。

お答えいたします。 　基幹インフラ事業者については、官民連携を通じてサイバーセキュリティーの確保に取り組む必要性が特に高いことから、特定重要電子計算機を導入した場合に届出を行う義務、サイバーセキュリティーインシデントが発生した場合に報告を行う義務、当事者協定に係る協議に応じる義務等を課しておるということでございます。

お答えいたします。 　先生おっしゃるとおりでして、そのタイミングがあやふやで、どういうタイミングで出せばいいか分からないというのは非常に困ると思いますので、これから政省令、下位法令作るときにしっかり事業者の皆様と御相談しながら設定してまいりたいと思います。 　それで、導入に関しては、この基幹インフラ事業者が一定の電子計算機を設置するなど、自ら利用することができるような状態、ここがポイントだと思っていまして、途中おっしゃったとおり、クラウドの所有権とかいろいろ考えると難しいことになってきますので、とにかく自らが利用できることができるような状態になっている、するというタイミングを適切に設定してまいりたいと思っております。

お答えいたします。 　まさに今後御相談ではありますが、基本的に想定しているのは、ＶＰＮ装置やファイアウォールといった特別社会基盤事業者の内部システムと外部のインターネットとの接点になる電子計算機、これが基本でございまして、これなどの製品名を想定しているということでございます。

お答えいたします。 　この製品名の等に当たる部分、今後まさにこれ主務政令で定めていきますので、よく関係業界、事業者の皆様と御相談をしていくということだと思いますが、現時点では、製造者名であったりとか、インターネットから一定のネットワーク機器を通じて特定重要設備と接続されるまでの機器同士の関係を示すネットワーク構成図、製造者名やネットワーク構成図といったものを想定しているということであります。

お答えいたします。 　本法案において、まずサイバーセキュリティーとは、サイバーセキュリティ基本法第二条に規定をしておりまして、電磁的方法により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損とあるんですけど、その防止その他の当該情報の安全管理のための必要な措置、また情報システム及び情報通信システムの安全性及び信頼性の確保のための必要な措置が講じられ、その状態が適切に維持管理されていることをサイバーセキュリティーと定義しています。 　なので、特定重要電子計算機のサイバーセキュリティーが害された状態というのは、まさにサイバー攻撃等によりこれらの措置が講じられた状態が損なわれたということが指されるということでございます。