2025年5月、国会の審議を経て、能動的サイバー防御関連法が成立しました。具体的には、「重要電子計算機に対する不正な行為による被害の防止に関する法律（サイバー対処能力強化法）」と「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律（サイバー対処能力強化法整備法）」の2つの法律です。

本稿では、金融機関やクレジットカード会社等が、この法律に関連する事項について、どのように対応すべきかを考察します。実務が直ちに大きく変化することはないと考えられますが、これまでの視点とは大きく変わる可能性がありますので、注意が必要です。

1 　従来の考え方

2000年に内閣官房でまとめられた「重要インフラのサイバーテロ対策に係る特別行動計画」が、サイバー防御に関する、国としての一本化された最初の取り組みです。この行動計画では、情報通信、金融、航空、鉄道、電力、ガス、政府・行政サービス（地方公共団体を含む）の7つの分野を対象としていました。

この時点で、国民生活に大きな影響を与えるサービスを提供する分野の一つとして、「金融」が対象に規定されました。対象となるシステムの例として、勘定系システム、資金証券系システム、国際系システム、対外接続系システム（オープンネットワークを利用したサービスを含む）等が挙げられており、勘定系だけでなく、インターネットバンキング等も対象とされています。

その後、内閣官房情報セキュリティセンター（NISC）が設置され、2005年には「重要インフラの情報セキュリティ対策に係る行動計画」が策定されています。この行動計画は、サイバー攻撃・サイバーテロ対策を中心とするというより、自然災害やシステムの不具合、人的なリスクを含めて、重要インフラの情報セキュリティ対策としてまとめられています。（余談ながら、私は前職で、2000年と2005年の行動計画策定に関わっていたのですが、既に四半世紀前になってしまいました。）

以降、行動計画は2020年の第4次行動計画（改定）に至るまで、改定を重ねています。2015年に策定された第3次計画（改訂版）からは、「クレジットカード分野」も対象に含められました。

当初は攻撃対処という観点でしたが、次第にリスクマネジメントを中心とした情報セキュリティマネジメント的な色彩が濃くなり、システムの防御は各企業の責任で行い、国（政府）はマネジメントの観点から所管官庁を通じて監査的に関わる、という姿勢に変わってきています。2025年には、「重要インフラのサイバーセキュリティに係る行動計画」に衣替えしていますが、この傾向はさらに強くなっているように感じられます。

これに沿って、各企業は自社の責任でセキュリティの確保・向上を進め、国は各所管官庁を通じて監査的な観点から取り組みを支援する、というのがこれまでの進め方でした。

金融分野では、FISCの「金融機関等コンピュータシステムの安全対策基準・解説書」が長年、教科書的な役割を果たしてきました。2025年の第13版に至るまで、その地位は揺らいでいません。クレジットカード分野であれば、PCI-DSSが絶対的な基準であり、これを満たすようシステムの情報セキュリティマネジメントを進める、というのが基本的な考え方でした。

もちろん、サイバー攻撃も起こりうるリスクの一つとして挙げられており、これへの対処も情報セキュリティ対策として位置づけられていますが、他のリスクに優先してリソースを割くべきものとはされていません。これは、リスクマネジメントの考え方からして当然とも言えます。これまでの情勢では、自然災害やシステム不具合によるリスクよりも、サイバー攻撃のリスクが高いとは言えなかったからです。

2 　安全保障の観点とプロアクティブな防御

「国家安全保障戦略」（2022年12月16日閣議決定）に基づいて設置された「サイバー安全保障分野での対応能力の向上に向けた有識者会議」は、2024年に提言をまとめています。そこでは、国家を背景としたサイバー攻撃が安全保障上の重大な懸念となっていること、そしてDXが進んだことで、重要インフラ事業者がサイバーセキュリティを確保するためには、サプライチェーン全体のセキュリティ確保が必要となることなどを、大きな情勢の変化として捉えています。

今回の法律制定で最も大きく変わったのは、従来は「壁を高くする」「侵入者を検知する」という受動的な対策が中心だったのに対し、攻撃元への偵察や攻撃の無効化といった、積極的かつ能動的な対応が法律で規定された点にあります。これらの能動的な対応は、プライバシー保護の観点で法的なリスクを伴うものですが、安全保障上の必要から、一定の制限はあるものの、国にこれらの対応を認めるものとなっています。

しかし、提言にもあるとおり、国家を背景とするサイバー攻撃にまで対応できる情報セキュリティの確保は、官のみ、民のみでは完結しません。官民の役割分担としては、国が国家レベルの脅威情報（インテリジェンス）の収集・共有や法的枠組みの提供、ガイドラインの策定を行い、企業は脅威インテリジェンスの活用やサプライチェーンを含めた自律的な防御体制の構築、平時からの情報共有体制への参加などが標準的に考えられます。

また、金融・クレジットカード分野の特徴として、関連するサプライチェーンが広範囲に及ぶこと、そして国民と直接のサービスチャンネルを持っていることが挙げられます。このため、攻撃を受ける境界面が大きく広がる可能性があります。グループ内各企業や、業務委託先などの取引先企業までも、このサプライチェーンの一環として対応を考えなければなりません。

これらの情勢の変化と、金融・クレジットカード分野の特徴に鑑みれば、国の支援を受けつつも、各企業において積極的なサイバー攻撃対応を進める必要があります。具体的には、自社に向けられる脅威の把握が特に重要になります。

金融分野では、早い段階からISACが脅威情報の収集、分析、共有を行っており、既に多くの実績があります。脆弱性や攻撃手法などの共有により、業界全体の情報セキュリティ確保に大きく寄与していることは間違いありません。他の分野と比較して、高いレベルで活動されていると評価されています。

しかし、安全保障レベルの脅威情報となると、国家レベルのインテリジェンスが必要になります。当然、国もこれらの情報を収集し共有するでしょうが、数多い対象企業を網羅的にきめ細かくサポートすることは難しくなると思われます。このため、個別企業が自社の責任で脅威情報を把握することが必須になります。

また、サプライチェーンのリスクにどの程度までコミットするかも、各企業の責任において判断する必要があります。少なくとも、企業グループ全体はリスクマネジメントの対象となるでしょうし、既にその枠組みができあがっている場合が多数だと思います。今後はこれに加えて、安全保障の観点で、サイバー攻撃に対する備えをチェックしなければなりません。特に、海外に進出している企業などは、海外子会社の情報セキュリティが、その国の業界の水準に合わせて相対的に低く設定されていることがあります。この場合は、日本国内と同様のレベルにまで引き上げる必要があります。

さらに、サプライチェーンのうち、グループ外の取引先のセキュリティはどうでしょうか。おそらく各社の現状は、チェックシートの提出等による自己申告的なチェックが中心となっていると思いますが、第三者評価とまでは行かずとも、もう少し客観的な把握が必要になるでしょう。

3 　今後の方向性

先に述べた情勢の変化が今回の法律制定の背景にあるとすれば、今後各社に求められるセキュリティ対策は、従来からの対策に加えて、安全保障を考慮した上で、以下の事項が必要になるでしょう。



(1) 脅威インテリジェンスの活用による具体的な脅威の把握

(2) 企業グループ全体のサイバー攻撃耐性の向上

(3) 客観性を伴うサプライチェーンのセキュリティチェック

脅威インテリジェンスの活用については、インターネットの表層だけでなく、ダークネットを含むアンダーグラウンドを流れる脅威情報を収集することが必要です。可能な限り早い段階で、自社に向けられる脅威を把握することは、サイバー攻撃対策として極めて有効です。

企業グループ全体の攻撃耐性向上については、スコアリングツールや、EASM（External Attack Surface Management：外部攻撃対象領域管理）、CTEM（Continuous Threat Exposure Management：継続的な脅威エクスポージャ管理）ツールの活用による、セキュリティの底上げが考えられます。表面的なチェックだけでなく、具体的な攻撃を想定したチェックができれば効果的でしょう。

サプライチェーンのセキュリティチェックは、従来より一層客観性を担保することが求められます。きめ細かなアセスメント等を実施することができればよいのですが、手間と時間がかかるため、グループ内でもなかなか実施が難しいのが現状です。自動化ツール等を用いた客観的な評価ができれば、大きくコストを下げることができます。

金融・クレジットカードの分野は、情報セキュリティに関しては、各業界の中で、先頭を走り続けていることは間違いありません。今後もその状況が期待されていると思います。能動的サイバー防御に関しても、他に先駆けて取り組むことが求められています。

弊社も多数のソリューションを用意しております。ぜひ一度ご相談ください。



・脅威インテリジェンス情報：https://www.kelacyber.com/ja/platform/monitor/

・EASM：https://www.ultrared.ai/jp/home

・サプライチェーンリスク管理：https://slingscore.jp/

KELA 顧問 高橋 守