HOME産業サイバーセキュリティセンター「事例調査業務」報告書について

本文を印刷する

産業サイバーセキュリティセンター

「事例調査業務」報告書について

最終更新日:2022年3月31日
独立行政法人情報処理推進機構
産業サイバーセキュリティセンター
事業推進部 事業推進グループ

本調査の概要

サイバー攻撃の高度化・激化が進んだことで、サイバー攻撃はフィジカル領域に大きな影響を及ぼすようになった。これにより、経済活動の基盤を守るには、プラント等の事故が発生した場合にサイバーインシデントの観点から原因を究明できる機能が求められるようになった。
この状況を受け、2025年を目処に「サイバーインシデントに係る事故調査」機能を整備するため、国内及び欧米における「事故調査」に関する実施体制、法制度及び最新動向の調査を以下の通り実施した。
 (1)欧米各国における「事故調査」及び「サイバーインシデントに係る事故調査」の動向調査
 (2)国内における重要インフラ・産業基盤の各業界における「事故調査」のしくみの調査
また、上述した動向調査の結果を踏まえて、国内において「サイバーインシデントに係る事故調査」機能を整備する上で、 検討すべき事項や課題等について検討した。

事業の概要

欧米各国における「事故調査」及び「サイバーインシデントに係る事故調査」の動向調査

1.電力分野
電力分野では、事故調査におけるサイバーに言及した法制度が整備されつつある。
組織名
関連する法制度
事故事例
サイバーに関する言及
備考(ガイドライン等)
米国 エネルギー省(DOE) DOE令 225.1B
事故調査		 バンドンローグNo.1115kVラインでのウィルソン建設会社の従業員の死亡事故(2013) EROイベント分析プロセス DOEハンドブック 事故及びオペレーション上の安全性分析
北米電力信頼度協議会(NERC) NERC 手続き規則 ワシントンD.C.エリアの低電圧障害イベント(2015)
EU NIS指令
NIS2指令		 △※
英国 国家サイバーセキュリティセンター(NCSC) NIS規則 英国電力システム障害(2019) △※ NCSC サイバーアセスメントフレームワーク
フランス 国家情報システムセキュリティ庁(ANSSI) 必須サービス事業者及びデジタルサービス事業者のネットワーク及び情報システムのセキュリティに関する政令 △※
ドイツ 連邦情報セキュリティ局(BSI) NIS指令の実施に関する法律
ITセキュリティ法2.0
BSI法		 △※
エストニア エストニア情報システム局 サイバーセキュリティ法 △※

【凡例】〇:あり / △:一部あり / -:なし(公開情報ベース)
※本表で取り上げているNIS指令やそれに関する各国の法律は、電力事業者に限らず基幹サービス運営者を対象としている。

2.鉄道分野
鉄道分野では、米国において事故調査におけるサイバーを含めた法制度の整備が進んでいる。
組織名
関連する法制度
事故事例
サイバーに関する言及
備考(ガイドライン等)
米国 国家運輸安全委員会(NTSB) 独立安全委員会法、
連邦規則、
セキュリティ指令1580-21-01、
セキュリティ指令1582-21-01		 CSX輸送の貨物列車2両の衝突事故(2019) 調査当事者向けの情報及びガイダンス
陸上輸送 IC-2021-01
EU ※各国に調査機関の設立を要請 欧州議会及び欧州理事会の指令(EU)2016/798
英国 鉄道事故調査局
(RAIB)		 欧州議会及び欧州理事会の指令(EU)2016/798鉄道運輸安全法 2003、鉄道(事故調査・報告)規則 2005 ロンドンのワンステッドパーク近くの貨物列車の脱線(2020)
フランス 陸上交通事故調査局(BEA-TT) 運輸法 サンテティエンヌの302号踏切で発生した地域急行列車と軽自動車の衝突事故(2019)
ドイツ 連邦鉄道事故調査委員会(BEU) 欧州議会及び欧州理事会の指令(EU)2016/798
鉄道事故調査の再編に関する法律、
鉄道事業における危険有害事象の調査に関する規則		 ミュルハイム(バーデン州)-シュリーゲン間の列車衝突事故(2020)
エストニア 安全調査センター(OJK) 欧州議会及び欧州理事会の指令(EU)2016/798、鉄道法、安全調査手順、安全調査センター規程、事故、重大な事故、インシデントの通知手順と通知書及び報告書の形式 クルナ踏切事故(2018)

【凡例】〇:あり / -:なし(公開情報ベース)

3.航空分野
航空分野では、米国において事故調査におけるサイバーを含めた法制度の整備が進んでいる。
組織名
関連する法制度
事故事例
サイバーに関する言及
備考(ガイドライン等)
米国 国家運輸安全委員会(NTSB) 独立安全委員会法、
連邦規則、
附属書13 航空機の事故とインシデント調査		 ジョージ海峡上空におけるde Havilland DHC-2,
N952DBと
de Havilland DHC-3,
N959PAの空中衝突(2019)		 調査当事者向けの情報及びガイダンス
EU 安全調査機関 欧州議会及び欧州理事会の規則(EU)
No 996/2010、
欧州議会及び欧州理事会の規則(EU)
No 376/2014、
欧州議会及び欧州理事会の規則(EU) 2018/1139
英国 航空事故調査局
(AAIB)		 欧州議会及び欧州理事会の規則(EU) No 996/2010、
民間航空(航空事故・インシデント調査)規則 2018、
附属書13航空機の事故とインシデント調査		 ロンドン・ガトウィック空港におけるエアバスA321-211型機「G-POWN」の重大インシデント(2020) 航空機事故:救急隊と飛行場運営者のためのガイダンス
航空機事故と重大インシデント:航空会社向けガイダンス
CVR記録検査に関するガイダンス
フランス 航空事故調査局(BEA) 欧州議会及び欧州理事会の規則(EU)No 996/2010、附属書13 航空機の事故とインシデント調査、運輸法、民間航空法、航空安全調査に関する事前取り決め Cayenne(Guyane)におけるCessna-207型機(F-OSIA)の事故
ドイツ 連邦航空機事故
調査局(BFU)		 欧州議会及び欧州理事会の規則(EU) No 996/2010、
附属書13 航空機の事故とインシデント調査、航空交通規制、
民間航空機運用における事故・インシデントの調査に関する法律		 GranseeにおけるCessna-208型機
(Caravan)の事故(2019)
エストニア 安全調査センター(OJK) 欧州議会及び欧州理事会の規則(EU) No 996/2010、附属書13 航空機の事故とインシデント調査、航空交通規制 航空法、安全調査手順、安全調査センター規程 A320-214 滑走路衝突(2018)

【凡例】〇:あり / -:なし(公開情報ベース)

4.自動車分野
自動車分野では、事故調査におけるサイバーを含めた法制度の整備が進んでいない。
EU、英国、ドイツ、エストニアでは、事故調査に関連して安全調査を行う機関が確認できなかった。
組織名
関連する法制度
事故事例
サイバーに関する言及
備考(ガイドライン等)
米国 国家運輸安全委員会(NTSB) 独立安全委員会法、
連邦規則		 中型バスの車道からの離脱・リターン・横転(2019) 調査当事者向けの情報及びガイダンス
EU
英国
フランス 陸上交通事故調査局(BEA-TT) 運輸法 大型車両通過時の道路橋の崩壊(2019)
ドイツ
エストニア

国内における重要インフラ・産業基盤の各業界における「事故調査」のしくみの調査

国内では、事故調査におけるサイバーを含めた法制度の整備が進んでいない。
事故事例についても、サイバーに関連した事故調査が行われたものはない。
分野
組織名
関連する法制度
事故事例
サイバーに関する言及
備考(ガイドライン等)
電力 経済産業省 電気事業法 福島第一原子力発電所事故(2011)
原子力規制委員会 原子力規制委員会設置法
鉄道 運輸安全委員会(JTSB) 運輸安全委員会設置法
運輸安全委員会設置法試行規則
事故等調査実施要領通則		 金沢シーサイドライン 新杉田駅構内 鉄道人身傷害事故(2019)
航空 運輸安全委員会(JTSB) 運輸安全委員会設置法
附属書13 航空機の事故とインシデント調査
運輸安全委員会設置法試行規則
事故等調査実施要領通則		 機体の動揺による客室乗務員の負傷(2020)
自動車 交通事故総合分析センター(ITARDA)
事業用自動車事故調査委員会		 道路交通法 大型トラックの踏切事故(2019) 自工会/部工会・サイバーセキュリティガイドライン V1.0[15]
自動車部品 交通安全環境研究所 道路運送車両法 乗用自動車の火災(2019)
鉄鋼 労働災害調査分析センター 労働安全衛生法 合金鉄工場における高温物死亡災害
建築 昇降機等事故調査部会
消防研究センター		 国土交通省組織規則 栃木県内エレベーター事故調査報告書(2012)
京都府京都市内油圧エレベーター事故(2019)
静岡工場火災事故(2020)

「サイバーインシデントに係る事故調査」機能の整備に向けた検討事項

1.事故調査機能に求められる体制、リソースに関する検討
サイバーインシデントに係る事故調査の体制を考える場合、下表の要素による違いを考慮に入れる必要がある。
考慮すべき要素
該当する活動、分野、組織の違い
事故調査のフェーズ 事故発生前:
  • 事故調査に必要な情報(国内外のインシデント事例、製品などの脆弱性情報、
    など)の収集
  • 事故時にサイバー調査が実施可能な人材の育成
  • 事故調査が実施可能な体制の構築
事故発生時:
  • 復旧に向けた緊急対応の支援・助言
事故発生後:
  • 復旧後の原因究明、再発防止対応の支援
対象分野 分野別ISACなどの体制が確立し、サイバーセキュリティ対策に対する体制が整っている分野(例:電力、鉄道、航空)
分野別ISACなどの体制が立ち上がり、サイバーセキュリティ対策に対する体制が整いつつある分野(例:自動車、自動車部品)
分野別ISACなどの体制が未確立で、サイバーセキュリティ対策に対する体制が整っていない分野(例:鉄鋼、建築)
対象組織 自組織で事故調査が完結できる組織(大企業、サイバーセキュリティ対策が進んでいる組織)復旧後の原因究明
自組織のみでは事故調査が十分に実施できない組織(中小企業)
事故調査のフェーズごとに、想定される活動、提供する支援機能、
必要な能力(ヒト)、必要な設備(モノ)、今後検討な必要な事項を下表に示す。
フェーズ
想定される活動
提供する
支援機能
必要な能力
(ヒト)
必要な設備
(モノ)
今後検討が必要な事項
事故発生前
  • 事故調査に必要な情報
    (国内外のインシデント事例、
    製品などの脆弱性情報、
    など)の収集
  • インシデントレポート発行
  • 脆弱性情報の提供
  • 情報収集
  • 機密性の高い情報を管理する設備
  • 既存の国等の取り組みとの差別化
  • 事故調査に特化した情報収集の要否
  • 事故時にサイバー調査が実施可能な人材の育成
  • 事故調査が実施可能な体制の構築
  • 人材教育プログラムの提供
  • 組織内の事故調査体制構築支援プログラムの提供
  • 教育プログラムの企画、開発
  • 教育プログラムの実施
  • 体制構築支援プログラムの提供
  • 教育施設
  • 教育プログラム
  • 事故調査に適した教育プログラムの開発
  • 事故調査が実施可能な体制構築(組織内体制、ファシリティ、予算確保、判断基準、対策実施基準、など)に向けた支援内容の検討
事故発生時
  • 復旧に向けた緊急対応の支援・助言
  • 現場での緊急対応支援
  • 報告窓口の一元化
  • 関連する情報提供
  • インシデント調査
  • 報告窓口
  • 情報提供
  • インシデント調査に必要な機材
  • 報告情報管理機能
  • 突発的に発生する様々な分野のインシデントに対応できる人材の常時確保の要否
  • 窓口一元化の要否
事故発生後
  • 復旧後の原因究明
  • フォレンジック支援
  • フォレンジック調査
  • フォレンジックに必要な機材
  • 分野ごと、組織ごとに異なるシステムに対する支援を実施可能な体制の確保
  • 被害状況の公開、企業の免責に関する検討
  • 再発防止対策の支援
  • サイバーセキュリティ対策検討支援
  • サイバーセキュリティ対策検討
  • サイバーセキュリティ対策の検討に必要な機材
2. 国内の各分野の特性に応じた対応の検討分野
前項の表中の「必要な能力(ヒト)」及び「必要な設備(モノ)」を整理すると、「情報収集・提供」、「インシデント対応」、「フォレンジック対応」、「人材育成・体制構築支援」の4つの機能に大別できる。
この4機能の要否について、対象分野・対象組織の違いから検討した。
分野(1)
分野別ISACなどの体制が確立し、サイバーセキュリティ対策に対する体制が整っている分野
(例:電力、鉄道、航空)		 分野(2)
分野別ISACなどの体制が立ち上がり、サイバーセキュリティ対策に対する体制が整いつつある分野
(例:自動車、自動車部品)		 分野(3)
分野別ISACなどの体制が未確立で、サイバーセキュリティ対策に対する体制が整っていない分野
(例:鉄鋼、建築)
自組織で事故調査が完結できる組織(大企業、サイバーセキュリティ対策が進んでいる組織) 情報収集・提供
  • ISAC等既存の活動があるため、「情報収集・提供」へのニーズは低い。
  • 他分野の情報は不足していると考えられる。
  • 「情報収集・提供」へのニーズは高い。
インシデント対応
  • 突発的に発生するインシデント発生直後の直接的な支援は、体制面で困難と考えられる。
フォレンジック対応
  • 自社人材や外部リソースにより自力でインシデント対応が可能なため、「フォレンジック対応」へのニーズが低い。
  • 自社人材が不足しており、「フォレンジック対応」へのニーズが高い。
人材育成・体制構築支援
  • 自社人材の育成について、「人材育成」へのニーズが高い。
  • 事故調査体制は、すでに構築済みか、今後自力で構築が可能。
自組織のみでは事故調査が十分に実施できない組織(中小企業) 情報収集・提供
  • ISAC等既存の活動があるため、「情報収集・提供」へのニーズは低い。
  • 他分野の情報は不足していると考えられる。
  • 「情報収集・提供」へのニーズは高い。
インシデント対応
  • 突発的に発生するインシデント発生直後の直接的な支援は、体制面で困難と考えられる。
フォレンジック対応
  • 自社人材が不足しており、「フォレンジック対応」へのニーズが高い。
人材育成・体制構築支援
  • 自社人材の育成ニーズはありつつ、必要な人材を自社内で確保することが難しいため、「人材育成」へのニーズは不透明。外部リソースを活用できる人材等、必要な人材像やかけられるコストについて検討が必要。
  • 事故調査体制は未整備で、自力での構築が難しい。サイバー調査に向けた組織体制の在り方、ログ取得などのファシリティ整備、必要な予算の確保、サイバー攻撃の有無を判断する基準の整備、などの各種支援に向けた検討が必要。

報告書のダウンロード

成果報告書PDF画像[PDF:2.47MB]
成果報告書(概要版)PDF画像[PDF:1.52MB]

本件に関するお問い合わせ先

IPA産業サイバーセキュリティセンター 事業推進部 事業推進グループ 中山/高木
E-mail: メールアドレス:coe-research@ipa.go.jp

産業サイバーセキュリティセンター