顧客の不安解消の観点からも求められる強化法の理解

国際秩序の混乱が続く中、日本を取り巻く安全保障環境が改めて注目されている。政府機関や国内重要インフラをサイバー攻撃から守る、いわゆるサイバー安全保障もその一つだ。こうした中、サイバー対処能力強化法（以下、強化法）及び同整備法が2025年5月に成立し、同月23日に公布された。今後、技術面を含めた具体的な運用ルールを整備したうえで、2027年をめどに本格的な運用がスタートすることになる。

そのポイントは、「能動的サイバー防御」という言葉で説明されることが一般的だ。ご存じの方も多いと思うが、その考え方は民間企業のサイバー防御に応用できるようなものではない。派手なアクションシーンこそないものの、後に紹介する「合意によらない通信情報の収集」や「攻撃サーバーの無害化」は、トム・クルーズ主演『ミッション：インポッシブル』の世界の話にほかならないからだ。

とはいえ、システムの脆弱性を検知した際のベンダーへの対処要請が明文化されるなど、ITビジネスにとって、それは決して無関係なものではない。また、強化法により、企業や個人が所有するPC・通信機器の通信情報が合意なしに収集できるようになることを不安視する方も少なくないと考えられる。条文には「通信の秘密の尊重」が明記され、運用に向けて通信内容の保護を前提とした情報収集の仕組みが構築される予定だが、エンドユーザー様のこうした不安を解消することもITビジネスに携わる企業に託された役割の一つだ。

大きな社会的混乱につながる主要インフラへの攻撃

まずは強化法成立の背景から見ていきたい。そのポイントは大きく二つある。一つは、第三者のコンピューターを乗っ取り利用する「踏み台攻撃」が一般化する中、政府機関と民間を切り分けたサイバー安全保障が困難になりつつある点だ。もう一つが、機密情報のよりスムーズな共有に向け、友好国と足並みをそろえる必要性である。

後者の観点で連想されるのが、昨年5月に成立した「重要経済安保情報保護活用法」によるセキュリティ・クリアランス制度である。同制度では、政府が保有する機密情報にアクセスが認められる人物の信頼性に焦点が置かれる。それに対し、システムに焦点を合わせ、信頼性を担保するのが強化法の役割といえる。

では、サイバー安全保障の脅威にはどのようなものがあるのか。安全保障におけるサイバー攻撃の脅威は大きく三つに分類できる。まず挙げられるのが、基幹インフラをターゲットとした攻撃である。

ウクライナ戦争に先立つ、ロシアによるクリミア侵攻（2014年）で注目されたのが、重要インフラへのサイバー攻撃を並行して行うハイブリッド攻撃だった。政府機関のほか、電力や通信、金融、物流をターゲットにしたサイバー攻撃は、軍事作戦の支援に大きな役割を果たしたとみられている。ここには軍事作戦に先行して侵入し、有事まで休眠状態を続けるマルウェア攻撃も含まれる。

次がランサムウェアによるデータ暗号化である。データを人質に、身代金を狙うという攻撃手法は一般企業と同じだが、政府機関や主要インフラのランサムウェア感染は社会的混乱が避けられない。米国東海岸の燃料需要の約45％を担う米国最大手パイプライン企業、コロニアル・パイプライン社のランサムウェア感染（2021年）では、ガソリンのパニック買いなど、大きな社会的混乱につながった。

最後が、機密情報の取得を目的にした攻撃である。その一つと目されるのが、宇宙航空研究開発機構（JAXA）イントラネットへの不正アクセス（2021～2024年）である。VPN装置の脆弱性を突いた攻撃でJAXA職員らが利用するMicrosoft 365の約200アカウントのパスワードが盗まれ、1万件以上のファイル流出につながった同事案では、世界初の火星衛星サンプルリターン計画として2026年に衛星打ち上げが予定される、JAXAのMMX計画や有人月探査計画の関連資料も含まれていたという。

警察庁はこの攻撃を、中国政府の関与が疑われるハッカー集団「ミラーフェイス」によるものとみている。一連の攻撃により、米航空宇宙局（NASA）やトヨタ自動車、防衛省などからJAXAに提供された情報も流出した疑いがあるという。

ベンダーへの対応要請を含め官民の連携を推進

では強化法により可能になる「能動的サイバー防御」とは、いったいどのようなものなのか。ここからはその概要を条文と共に見ていきたい。そのポイントは大きく三つに分けられる。まず挙げておきたいのが、官民連携の強化である。この観点で注目したい条文を以下に掲げる。

基幹インフラ事業者によるインシデント報告等（強化法第二章）

●基幹インフラ事業者は、特定重要電子計算機（★）を導入したときは、その製品名等を事業所管大臣に届け出なければならないこととするとともに、当該事業所管大臣は当該届出に係る事項を内閣総理大臣に通知することとする（資産届出）。

●基幹インフラ事業者は、不正アクセス行為等により特定重要電子計算機（★）のサイバーセキュリティが害されたこと又はその原因となり得る一定の事象を認知したときは、その旨及び一定の事項を事業所管大臣及び内閣総理大臣に報告しなければならないこととする。

★そのサイバーセキュリティが害された場合に、特定重要設備の機能が停止し、又は低下するおそれがある一定の電子計算機。

情報共有・対策のための協議会の設置（強化法第九章）

●内閣総理大臣は、サイバー攻撃による被害の防止のため、重要電子計算機を使用する者等（あらかじめ同意を得た者に限る。）を構成員とする協議会を設置し、構成員に対し、守秘義務を伴う被害防止に資する情報を共有するとともに、必要な資料提出等を求めることができることとする（サイバーセキュリティ協議会を廃止し、強化・新設）。

電子計算機の使用者に対する情報共有（強化法第八章第四十一条）

●内閣総理大臣は、サイバー攻撃による被害の防止に必要な情報を公表・周知する。

脆弱性対応の強化等（強化法第八章第四十二条、サイバーセキュリティ基本法第七条）

●内閣総理大臣及び電子計算機等供給事業所管大臣（★1）は、重要電子計算機として用いられる電子計算機やプログラムにおける脆弱性を認知したときには、当該電子計算機等の供給者（★2）に対し情報を提供することができることとする。電子計算機等供給事業所管大臣（★1）は、脆弱性が基幹インフラ事業者が使用する特定重要電子計算機に用いられる電子計算機等に関連するものである場合には、当該電子計算機等の供給者（★2）に対し、サイバー攻撃による被害を防止するために必要な措置を講ずるよう要請することができることとする。

★1 ここでいう「電子計算機等供給事業所管大臣」とは、電子計算機やそれに組み込まれるプログラムの供給を行う事業を所管する大臣を指す。
★2 電子計算機等の「供給者」とは、電子計算機等の生産者、輸入者、販売者及び提供者を意味している。

●電子計算機やプログラム等の供給者に対する責務規定（利用者のサイバーセキュリティ確保のための設計・開発、情報の継続的な提供等に努める旨）を設ける。

まず注目したいのが、基幹インフラ事業者がシステムを構築する際に、製品等の届出が必要になる点だ。同様に脆弱性が発見された際にはその報告が義務付けられ、政府は当該システム・機器のベンダーに対し、対応要請が行えるようになった。これに関連して、以下の罰則も整備されている。

罰則の整備（強化法第十二章）

・行政職員及び協議会構成員等による秘密の不正な利用・漏えいの行為
→2年以下の拘禁刑又は100万円以下の罰金（第八十二条）
・基幹インフラ事業者がインシデント報告等を行わず、是正命令を受けてもなお対応しない場合
→200万円以下の罰金（第八十三条）
・基幹インフラ事業者がインシデント報告等に関連し、資料提出等を求められても対応しない場合
→30万円以下の罰金（第八十四条）