能動的サイバー防御法がもたらす情報セキュリティのパラダイムシフト: すべての企業が直面する実務上の課題
Updated 7月 15, 2025.
能動的サイバー防御法がもたらす情報セキュリティのパラダイムシフト:すべての企業が直面する実務上の課題
1 概要
本年5月16日、国会の審議を経て、「能動的サイバー防御関連法」が成立しました。
具体的には以下の2つです。
「重要電子計算機に対する不正な行為による被害の防止に関する法律」(強化法)と「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律」(整備法)
従来、サイバー攻撃から特定社会基盤事業者の保有する重要電子計算機を防御する枠組みは「受動的」であったのですが、最近の情勢に鑑み、国が関与しつつ「能動的」に防御して行くことになりました。
本法律に関係し得る企業において情報セキュリティを担当される方に向けて、法律の内容のうち、実務に関係しそうな点に絞って簡単に参照します。概要をご理解いただくため、法律の記述と厳密には一致しない表現を含むことをお許しください。
また、筆者の意見を含むことをあらかじめお断りします。
2 受動的防御から能動的防御へ
受動的な防御は、攻撃を想定して防御策を講じることを前提としており、ファイアウォールやEDRなどを用いた攻撃の検知・防御や、アクセス制限や認証の強化等による攻撃耐性の向上などが中心となっています。対策を講じるのは、システムの所有者である場合がほとんどであると思います。
従来はこの考えに基づき、国は危険性の高い脆弱性の情報を提供したり、不正アクセス事案発生の状況を公表するなど、各事業者の実施する防御策を、側面から支援することを中心に施策を進めてきました。
一方、今回制定された法律に規定する能動的な防御は、具体的な攻撃があった際に、攻撃に関係するサーバ等への措置を警察からシステムの所有者に対して命令したり(国内が想定されています)、場合によっては、警察や自衛隊が攻撃に関係するサーバ等への措置を自ら行う(海外も想定に含んでいます)などのアクションを中心としています。
また、国が事業者と連携して攻撃に使用される可能性のある通信内容を把握して、内容を分析して事業者に提供するなど、これまでにない踏み込んだ対策が規定されています。
誤解を恐れずに申し上げれば、従来は、個々の責任で攻撃を防御するという考え方であったのに対し、今後は、攻撃があった際には、国が積極的に検知・防御・対処に関与するということではないかと思います。
このように変化した背景には、
・ランサム・ウェア等による、基幹システムの侵害
・有事の前段階としての重要インフラへの侵入
・不正アクセスによる機微な情報の窃取
などがあるとされています。
我が国においても、国民生活に影響が出るような事案が発生しており、個々の企業の責任として片付けることができない状況になっています。他国が国家レベルで行うシステム侵害などは、もはや一企業で対処できるものではないということでしょう。
また、欧米の主要国において、これらの取組が制度化されており、我が国においても、同様の取組が必要であるとの判断によるものではないでしょうか。
3 対象となる重要電子計算機など
能動的防御の対象となっているのは、国や地方公共団体のシステムのほか、特定社会基盤事業者の保有する重要電子計算機とされています。従来の重要インフラ事業者だけでなく、金融、貨物自動車運送、クレジットカードなどの事業者も含まれています。
特定社会基盤事業者は、令和7年5月13日時点で、
①電気(48)②ガス(25)③石油(18)④水道(23)⑤鉄道(5)
⑥貨物自動車運送(18)⑦外航海運(3)⑧港湾(32)⑨航空(2)
⑩空港(6)⑪電気通信(10)⑫放送(6)⑬郵便(1)⑭金融(59)
⑮クレジットカード(8)
計249が指定されています。これらの事業者の保有する国民生活や経済活動の基盤となる役務に係る重要電子計算機が対象となっています。
サイバー安全保障に関する取組の一環として法律が制定されていますので、攻撃を受けた際に、国民生活や経済活動の基盤が揺らぐようなシステムが前提とされています。
ただし、間違いやすいのは、防御の対象=警察などが行う措置の対象とは限らないという点です。攻撃を受けている対象に措置が必要なことは言うまでもありませんが、その攻撃を中継している、いわゆる「踏み台」も措置の対象となります。外務大臣との協議や新たに設置される独立機関の承認が必要にはなりますが、警察や自衛隊による国外の踏み台に対する措置も規定されており、安全保障の側面が色濃く出ています。
特定社会基盤事業者に指定されていない企業であっても、自社のシステムが、重要電子計算機に対する攻撃を中継している場合は、システム管理者に対して措置の命令が来たり、警察や自衛隊による措置の対象となり得ます。
4 セキュリティ・インシデントの報告義務など
指定された特定社会基盤事業者は、特定重要電子計算機を届け出る必要があります。届け出る内容は、製品名、製造者名のほか、省令で定めるとされていますが、脆弱性等を国で管理することが目的ではないかと考えられますので、ある程度の詳細な内容になることが想定されます。既に経済安全保障推進法で、特定重要設備等について事前審査を受けることとされていますので、内容は同等のものと思われます。
さらに、インシデントの報告が義務付けられています。特定重要電子計算機に係る特定侵害事象またはその原因となり得る事象について、届け出ることとされています。直接的な不正アクセスは当然ですが、その原因となり得る事象としてサプライチェーンや委託先のシステムに対する侵害も報告の必要があるかもしれません。
しかも、このインシデント報告については、報告しなかったこと等について、罰則が規定されています。昨今、コンプライアンスの観点から、ステークホルダーに対してセキュリティ・インシデントを報告することが当然という流れになっていますが、これがさらに加速するであろうという点に注意が必要です。
ともすると、風評被害を恐れて、セキュリティ・インシデントを公表しないというケースも少なからず散見されるところ、今後はそのようなことが許されなくなるであろうと思われます。今回の法の枠組みにとどまらず、全ての企業等に対して、同様の見方が普遍的なものになるであろうと考えられます。
また、インシデントの発生に際して、個人情報流出に対して特に敏感になる傾向がありましたが、個人情報流出の有無に関わらず、インシデントの発生自体を防止できなかったのか、との観点が重要になるでしょう。
5 その他の施策
国の組織体制の整備として、内閣総理大臣を長とするサイバーセキュリティ戦略本部の強化、内閣サイバー官の設置、内閣府特命担当大臣の設置などが規定されています。
また、警察や自衛隊が措置を行うために必要となる通信情報の利用を適正にするため、第三者機関としてサイバー通信情報監理委員会を設置することとされました。
官民の連携として、特別社会基盤事業者と国の間で協定を結び、通信情報を取得して分析結果を事業者に提供することが国の仕事として規定されています。
6 実務上の課題
特別社会基盤事業者である企業はもちろんですが、そうでない企業にとっても、本法の制定は、情報セキュリティに関して、大きく視点を変える/切り替えるきっかけになるのではないでしょうか。
従来のファイアウォールやEDRなどの、攻撃を想定して阻止するという受動的防御では不十分であるという視点に立って、先手を打って防御を考える必要があります。しかも、自社のシステム自体への攻撃だけでなく、自社のシステムを踏み台にしたこれらの事業者のシステムへの攻撃にも注意を払わなければなりません。
業務の基幹システムではなく、事務処理用のシステムだから顧客の個人情報も載せていないし、事業には大きな影響はないなどと安心していると、突然警察からシステムの停止や回線の遮断の命令が来るかも知れません。
実際にダークネット上では、企業のVPNアカウントが売買されています。在宅勤務が当たり前の現在、自宅から会社にインターネット経由で接続するのは当然で、そのための入り口がインターネット上に設けられているのは普通です。しかしそのアカウントや認証情報が窃取されていたとしたらどうでしょうか。
システムごとにセキュリティを考えるというよりも、攻撃者の視点に立って、すべてのアタック・サーフェイスを把握し管理する方が、総合的に安心できるかも知れません。
特に、海外に展開する企業の場合、一律にセキュリティが確保されていることが期待できるでしょうか。システムは相互につながっていますので、セキュリティは一番弱い部分に引きずられます。海外の子会社のクラウドストレージが不正アクセスを受けないとも限りません。シャドーITの存在も見逃せません。この機会に、ASMやその発展形であるCTEMの導入を検討してみるのも、一つの方策だと思います。
また、実際にダークネット等で売買される自社に関係する情報を、脅威インテリジェンスを使って検知するのも効果的かも知れません。海外子会社を含む、システムのアカウント情報等が売買されている場合、極めて高い確率で不正アクセスを受けてしまいます。これらの情報の流出が被害発生以前に把握できていれば、被害を未然に防止できる可能性があります。
能動的サイバー防御は、攻撃が来るのを待つのではなく、攻撃に対してその予兆を把握し、先手を打って攻撃を阻止しようという考え方が基本になります。
弊社にご相談いただければ、効果的なソリューションを提案させていただきます。
2025.07.15
KELA 顧問
高橋 守
