ニュース
「新・サイバー防御法を識る」シンポジウム開催、産学官のキーパーソンが意見交換
ムーンショット新保プロジェクト、内閣官房サイバー安全保障体制整備準備室が共催
2025年7月1日 06:15
いわゆる「能動的サイバー防御」(ACD)導入に関する2つの法律「サイバー対処能力強化法」「サイバー対処能力強化法整備法」(本稿ではこれら2つを合わせて「新・サイバー防御法」と呼ぶ)が、5月16日に成立した。
6月24日、この新・サイバー防御法の背景や意義、実際に何を定めているかについて、シンポジウム「新・サイバー防御法を識る~みんなで備えよう、新・サイバー防御~」が開催された。慶應義塾大学ムーンショット研究開発プロジェクト新保プロジェクトと、内閣官房サイバー安全保障体制整備準備室の共催で、オフラインとオンラインのハイブリッド形式で実施された。
シンポジウムでは、新・サイバー防御法の関係者が講演し、同法について解説した。また、パネルディスカッションでは、産官学からのパネリストがサイバーセキュリティの状況や新・サイバー防御法の背景や意義や、課題などについて議論した。そのほか、サイバー安全保障担当大臣の平将明氏も登場した。
新・サイバー防御法については、現在、攻撃者の無害化措置の部分などが注目されることが多い。ただし制度としては、それに至る官民の情報共有や、乱用を防止する運用施策なども盛り込まれており、シンポジウムではその部分についても解説や議論がなされた。
主催の1人である慶應義塾大学の新保史生氏(総合政策学部教授 ムーンショット新保プロジェクトPM)は、開会挨拶にて、オンラインでも330人以上の申し込みがあったということで、「この反響の大きさは、まさにわが国におけるサイバーセキュリティへの関心の高さを物語っていると思う」と述べた。
大規模なサイバー攻撃への対策と、乱用を防止する法的枠組みが必要だった
基調講演として、まず東京大学大学院の宍戸常寿氏が、新・サイバー防御法の必要性や、課題について解説した。
新・サイバー防御法の必要性について、宍戸氏は、サイバー攻撃の被害が企業、政府、市民に大きな被害が及ぶようになっていること、その対策には官民の連携が不可欠であることを説明した。その一方で、透明性のない形でなし崩し的に行うのは、法の支配や基本的人権の保障という基本的な価値を損なう恐れがあることも指摘した。
そして、そのためには、実効性を確保しつつ、乱用を防止する法的枠組みが必要だったと語った。
2024年11月には、宍戸氏を含む有識者会議により「サイバー安全保障分野での対応能力の向上に向けた提言」が取りまとめられた。このときの3本柱が、官民連携、通信情報の利用、アクセス無害化措置だった。宍戸氏は新・サイバー防御法について「この提言を忠実に立法化したものだと受け止めている」と語った。
今後の課題として、宍戸氏は「この種の法律は、綺麗にできただけでは済まず、現実に実装され、実践され、適切に見直されるということが大事」と述べた。
そして、企業、実施機関、それを監視する第三者機関、政府の考えるべき点を挙げた。そのうえで最後に、「私たち国民一人一人が我がこととして、サイバーセキュリティとこの法制を正しく理解し、またその運用に関心を持って、必要な場合には批判をし、より優れた対策を求めるといったようなことも、求められていくと思っている」とまとめた。
情報共有、通信情報の利用、攻撃者の無害化の3点で能動的サイバー防御
基調講演としてもう1名、内閣官房サイバー安全保障体制整備準備室室長の小柳誠二氏が、新・サイバー防御法の内容の概要について解説した。
小柳氏はまず、令和4年(2022年)12月に閣議決定した国家安全保障戦略の内容を説明した。
目的は「サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる」こと。具体的には、サイバー攻撃の情報の民間と政府での情報共有、通信事業者の情報の利用、そして攻撃者のサーバーの無害化ができる権限の付与、の3つがある。
小柳氏は「攻撃者の無害化だけが能動的サイバー防御と思われているところがあるが、政府側としては3つのセットで能動的サイバー防御と考えている」と強調した。
全体イメージとしては、基幹インフラ事業者にサーバー攻撃があったときに、その情報を政府に提供し、政府からもそれらの情報を集約して民間に提供する。また通信事業者も、明確な法的根拠のうえで通信情報を政府に提供して分析し、無害化などを行う。
ここから、3点それぞれの各論を小柳氏は解説した。
1点目の「官民連携の強化」について。電気・水道などの基幹インフラ事業者については、特定重要電子計算機を導入したときやインシデント情報を認知したときに届け出る。これまで、たとえば通信事業者が重大な事故を届けるといった制度はあったが、サイバーインシデントに特化したものがなかったと小柳氏は説明した。
また、政府は「情報共有及び対策に関する協議会」を設置し、基幹インフラ事業者やベンダーなどに参加してもらう。この中で、守秘義務を伴った上で、被害防止に関する情報を共有して生かしていく。
さらに脆弱性対応の強化として、政府から脆弱性についてベンダーに情報提供することや、重要な脆弱性の場合にはベンダーに必要な措置を要請することが定められている。
2点目の「通信情報の利用」について。これは通信データを分析してサイバー攻撃を把握するということで、これには「通信の秘密」への配慮が必要となる。
この通信の取得について、同意にもとづくケースと同意にもとづかないケースを小柳氏は説明した。同意にもとづかないケースについては、必要があると認められることや、独立機関の承認を受けることなどが定められている。
そして、これらいずれも、人によらず自動的な方法によって機械的に情報を選別することが定められている。さらに、コミュニケーションの本質的な情報(メールの本文など)にあたらない情報から、調査に関係があるもの(IPアドレスや送信日時など)のみを自動選別し、それ以外のものはすぐに消去することが求められている。
チェックして承認する独立機関(第三者機関)は「サイバー通信情報監理委員会」の名で、三条委員会(国家行政組織法第3条に基づく委員会)として独立性の高い組織として設置される。国会への報告や公表も行う。
3点目の「アクセス・無害化」について。これはサイバー攻撃が行われているときに、攻撃元に対して遠隔からログインし、攻撃のためのプログラムを確認し、そのプログラムを停止・削除するなどの無害化を行うものだ。
これについては、警察による措置と自衛隊による措置が定められており、それぞれ警察官職務執行法と自衛隊法を一部改正した。
この3本柱以外に組織や体制の整備として、サイバーセキュリティ戦略本部の強化、内閣サイバー官の設置、内閣府匿名担当大臣の設置等が定められたことなども小柳氏は説明した。
産官学のパネリストが法の背景から施行のポイントまで議論
講演を受けて、パネルディスカッションが開催された。パネリストは、宍戸氏に加え、株式会社BLUEの篠田佳奈氏(代表取締役)、株式会社インターネットイニシアティブ(IIJ)の谷脇康彦氏(代表取締役社長)、芝浦工業大学の持永大氏(システム理工学部 准教授)、八雲法律事務所弁護士の山岡裕明氏、内閣官房サイバー安全保障体制整備準備室次長の飯島秀俊氏。モデレーターは、日本放送協会(NHK)解説委員の梶原崇幹氏。
パネルディスカッションでは、法律の背景と経緯、法律の施行、企業活動への影響の3つのテーマが順に議論された。
重要性と通信の秘密のバランスなどを国会で審議
まず、法律の背景と経緯について。
芝浦工業大学の持永大氏は、サイバーセキュリティを国家安全保障の中に位置づけたのは、2013年の国家安全保障政策からと遡り、これまで組織ごとに限られていたのが、今回の法ではそれを統合し新しい要素を加えたものだと語った。そしてその背景として、サイバー空間の脅威が、個人から、組織レベルや国家レベルになってきたことを挙げた。
またBLUEの篠田氏は、暗号技術の輸出規制やワッセナー協約(通常兵器及び関連汎用品・技術の輸出管理に関するワッセナー・アレンジメント)など、セキュリティはこれまでも常に安全保障とともにあったと語った。
IIJの谷脇氏は、4月にIIJにおいて不正アクセスが発覚した事件を、謝罪とともに紹介した。そして、これがソフトウェアの脆弱性によるゼロデイ攻撃によるものだったことを挙げ、同じソフトウェアを利用している企業間での情報共有の必要性を語り、それを政府の支援で一枚岩で動く体制が強化されるのはよいことだと語った。
内閣官房の飯島氏は政府の状況として、改めてサイバー攻撃が国家安全保障上の問題になっていることを説明。小柳氏も取り上げたように、2022年の国家安全保障戦略で掲げた「サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる」という目標を実現するために、能動的サイバーセキュリティの導入を進めてきたと語った。
そして国会では2カ月、40時間かけてていねいに審議がなされたことを紹介した。そこで審議されたことの例としては、重要性と通信の秘密のバランスや、国外へのアクセス無害化が国際的な問題にならないかという懸念が大きな論点になったと語った。
通信の秘密との関係について、宍戸氏は犯罪での通信傍受の場合と比較。通信傍受は犯罪があってからピンポイントで行われるのに対し、この場合は平時から情報を収集して分析して予兆をつかむ必要があると指摘した。そのため、犯罪のように裁判所によるチェックはなじまず、独立機関でチェックすることでガバナンスを効かせるものだと説明した。
その独立機関のあり方について、弁護士の山岡氏はイギリスの2016年調査を例に挙げた。テロ対策のために通信にアクセスする権限を警察や情報機関に与えるかわりに、独立機関によるチェックも強化したという。その内容として、通信調査の承認業務を行うこと、年1回のレポートを義務づけていること、独立機関に対する監査機関を設けること、の3つにより透明性の高い仕組みになっていると説明した。
官と民のギブアンドテイクが重要
続いて、法律の施行について。
飯島氏は、7月1日に、内閣サイバー官が設置されること、内閣サイバーセキュリティセンター(NISC)を発展的に解消して「国家サイバー統括室」が発足することを紹介した。法律の施行は長いものは約2年半かかるが、2026年秋ごろまでには官民連携の強化の取り組みなどが開始される予定だと説明した。
その官民連携が機能するには何が必要かについて、谷脇氏は、ギブアンドテイクが重要だと述べた。官が民から情報共有してもらうためには、官からも情報共有していく必要があるという意味であり、「掛け声倒れにならないように情報の共有を進めていただきたい」と同氏は語った。
法を生かすも殺すも各組織の取り組み
最後に、企業活動への影響について。
持永氏は、重要インフラの企業が狙われる事例として、米国のコロニアル・パイプライン事件や、日本の名古屋港へのサイバー攻撃事件を紹介。また証券口座乗っ取り事件が続いていることなども取り上げた。
山岡氏は、多要素認証やアップデートなどの対策がある程度出てきているのに対し、企業などで導入が進んでいないことを取り上げ、今回の能動的サイバーセキュリティを活かすも殺すも各組織の取り組みが重要だと語った。
また、谷脇氏は、セキュリティ担当者と経営層とのコミュニケーションギャップがあることを指摘し、橋渡しをする中間人材によって経営層に納得してもらうことが重要だと語った。
篠田氏は韓国がアジアの中でのサイバーセキュリティが強く、それは優秀な人材がセキュリティに集まってきているからだと紹介。そして、日本でもそのようになればと語った。
日本の中小企業について持永氏は、業界ごとに似たソフトを入れたり、同じようなSIerによる同じようなシステムを構築していたりということから、サイバー攻撃の標的になりやすいと指摘し、今後の焦点の1つだと語った。