特集
内閣官房に聞く「能動的サイバー防御」~今、知っておくべき6つのポイント
官民連携はどう行われる? 通信情報取得の範囲は? 無害化の方法は?
2025年5月29日 06:00
2025年5月16日、いわゆる「能動的サイバー防御」導入に関する法律が成立し、23日に公布された。
通信情報を取得・分析してサイバー攻撃を検知し、実行される前に無害化を行う――この点が「能動的サイバー防御」と呼ばれる理由であり、最も注目される部分だが、当該の法律は「サイバー対処能力強化法」(正式な名称は「重要電子計算機に対する不正な行為による被害の防止に関する法律」)といい、もう少し大きな枠組みを意図したものとなっている。
今回は、同法を立案した内閣官房サイバー安全保障体制整備準備室に伺った内容をもとに、取り組みの全体像や、一般インターネットユーザーおよび企業のIT担当者が知っておくべきポイントについて解説する。
[目次]
1.官民が連携してサイバーセキュリティを強化する
「これまでサイバーセキュリティは、『官のみ』『民のみ』で取り組むのが主になっていました。これをより官民が連携していく形に転換していく、ということになります」と、髙田内閣参事官(内閣官房 サイバー安全保障体制整備準備室)は概要を説明する。
これまでにも、NISCや総務省、経済産業省などによる、政府内でのサイバーセキュリティの取り組みは行われているが、新たにNISCの発展的改組が行われ、サイバー安全保障分野の政策を一元的に担う新組織が設置される。
2.安全保障上の懸念を生じさせる重大な攻撃の増加が背景に
サイバー対処能力強化法によるサイバー安全保障能力の強化が要請された背景には、サイバー攻撃の量的な増加、および質の面での高度化がある。髙田内閣参事官によれば、法が念頭に置いているのは、「武力攻撃には至っていないものの、国や重要インフラなどに対して安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合」だという。国家を背景にするサイバー攻撃による脅威は一層深刻化しており、国のサイバー対応能力の向上は、急を要する課題であった。
しかも、サイバー攻撃の影響は、個人情報の流出や特定のサービスの停止といったネット内、またはデジタルデータレベルにとどまらず、物流や交通など物理空間にまで影響を及ぼし、われわれの生活に直接的な被害が生じるようになってきている。俗な言い方をすれば「リアルに影響する」サイバー攻撃が増加しており、例えば病院のような施設が業務停止に追い込まれれば、極めて直接的に人命に関わる。
実際に、2022年には、大阪急性期・総合医療センターがサイバー攻撃を受け、直後には手術の停止や救急受入の停止といった影響があった。2023年には名古屋港がサイバー攻撃により業務停止し、2024年末にはJALがサイバー攻撃を受け、人の移動が多い時期に欠航や遅延、予約システムの停止などの影響を受けた。このことはまだ記憶に新しい人も多いだろう。
増加・高度化するサイバー攻撃に対抗するため、国がコミットし、民間の企業・組織とこれまで以上に緊密に協力する「官民連携」を推進していくことになる。
3.「基幹インフラ事業者」に攻撃の報告などを義務化
サイバー対処能力強化法は国全体のサイバー安全保障能力の強化を目的としたものだが、特に重視していると言えるのが、重要な社会インフラを担う「基幹インフラ事業者」だ。
基幹インフラ事業者とは、電気、ガス、水道などのエネルギー事業、鉄道、空港、港湾などの運輸・運送事業、電気通信事業、放送事業や金融、クレジットカード事業を営む主要事業者を指す。サイバー対処能力強化法では、基盤インフラ事業者が新たにサーバーなどの設備(重要電子計算機)を導入したときに届け出ることや、インシデント発生時の報告を義務化し、情報の共有を図っている。また、後述のように、基幹インフラ事業者の通信情報は、事業者との同意により取得・分析される(ポイント5参照)。
ある企業や組織にサイバー攻撃があったとき、国全体で情報が共有され、迅速に効果的な対策が取られれば、同じ手口で複数の組織が被害に遭うことを防ぐことができる。従来から必要性が指摘され、取り組みも行われていた、このような組織を横断したサイバー攻撃情報を共有する仕組みについて、国ぐるみでの構築が進むものとみられる。
4.政府からの情報提供も強化
基幹インフラ事業者ほか民間からの情報共有を求める一方で、政府から民間への情報提供も強化される。対象は基幹インフラ事業者に限らず、サイバー攻撃による被害の防止のために必要な情報の提供などが行われる。
サイバー対処能力強化法は、基幹インフラ事業者だけを向いたものではない。同法が想定する体制では、政府のさまざまな情報を分析し、その結果をフィードバックすることで、幅広い企業のサイバーセキュリティ強化に役立てることが可能になる。
髙田内閣参事官は、サイバー対処能力強化法による取り組みの開始にあたり「まずは、サイバー攻撃の実態を明らかにする必要がある状態」だと率直に語る。まずは情報収集能力を向上させ、実態を把握することから始まることになる。具体的な体制構築はこれからとなるが、企業のIT・セキュリティ担当者は、この点に注目したい。
5.取得する情報はコミュニケーションに関係しない部分限定
「能動的サイバー防御」の話題において特に注目を集めるのが、通信情報の利用(取得および分析)だ。
取得・分析する情報については、詳細に規定されている。まず、対象は通信を行うどちらかが海外にあるものに限られる。日本を経由した海外から海外への「外外通信」、および海外から国内への「外内通信」、反対に国内から海外への「内外通信」の3種で、「内内通信」は対象とならない。
そして、通信情報の取得には、基幹インフラ事業者との協定(同意)に基づき外内通信の取得が行われるケースがあるほか、同意に基づかずに行うものとして、国外の攻撃インフラの実態把握などのため、または国内のサイバー攻撃の実態把握のため、外外・外内・内外通信の取得が行われるケースがある。なお、同意に基づかないケースでは、新たに設立される独立機関である「サイバー通信情報監理委員会」の承認が必要となる。
取得した情報のうち、分析に使用されるのは、IPアドレス、送受信の日時、通信方式、ソフトウェアの種類などで、「コミュニケーションの本質的な内容ではない情報」と説明される。メールのタイトルや本文、その他のツールでもメッセージ本体は対象にならない。
これは、サイバー攻撃を実行するため、あるいはそのために機器を制御するための信号を検知することが目的となると考えればよい。人間同士のやりとり、例えば、サイバー攻撃を実施するための謀議や指示を検知するようなことは、サイバー対処能力強化法や整備法による取り組みが直接的に目指すものではない。
6.無害化は「悪意あるプログラムを取り除く」イメージ
攻撃者へのサーバーなどへのアクセス、および無害化措置も、非常に注目を集める部分だ。整備法による警察官職務執行法および自衛隊法の改正により、警察および防衛省・自衛隊が、サイバー攻撃による重大な危害を防止することを目的として行うことが可能になる。
無害化措置の実施にあたっては、サイバー通信情報監理委員会の事前承認が原則として必要となり、サイバー安全保障分野の政策を一元的に担う新組織が警察と防衛省・自衛隊間を調整し、緊密な連携のもと行われる。具体的な手段はこれから整備され、実施方法は、対象の状態などに応じて決定されることとなる。
無害化を行う対象が国内にあれば、整備法により法的な問題をクリアできるが、対象が海外にある場合はどうなるのか? 現状では、「正常に動作するべき機器(ルーターなどネットワーク機器)から、攻撃のための(悪意ある)プログラムを取り除く」措置を行うことは、国際法上でも問題がないと考えられるという。
国外にある攻撃者のサーバーに対して無害化を行うことが、主権侵害に相当するとみなされるケースもあると想定される。そのようなケースでは、「緊張状態」(重大かつ急迫した事態から不可欠の利益を守るための唯一の手段であり、相手国らの不可欠の利益を深刻に侵害しないなど一定の要件を満たす場合に、違法性は考慮されないとする考え方)などの国際法上の法理を援用するなどして、国際法上許容される範囲内で実施するとしている。