特集
「みんなで備えよう」に込めた思いとは? 平将明サイバー安全保障担当大臣に聞く「能動的サイバー防御」関連法成立までの道のりとこれから
~ひとつひとつ基礎的な対策を押さえることを、国民運動にしていきたい~
2025年6月30日 06:30
「能動的サイバー防御」の導入を目玉としたサイバー対処能力強化法(重要電子計算機に対する不正な行為による被害の防止に関する法律)が2025年5月16日に成立、同23日に公布された。内閣官房では「みんなで備えよう」と呼び掛けるリーフレット(後述)が配布されるなど、周知・啓発のための活動も始まっている。
本誌では先日、能動的サイバー防御およびサイバー対処能力強化法の内容に関して内閣府に取材した特集を公開した。今回は、2024年10月に発足した第1次石破内閣において新設されたサイバー安全保障担当大臣として、同法の成立まで法案審議などに携わってきた平将明大臣に伺った、同法や日本のサイバー安全保障についてのコメントを紹介する。
国民生活や経済への深刻な影響を及ぼすサイバー攻撃への対処能力を強化
――法案の審議を振り返って、所感をお聞かせください。
会期中、週に3回のペースで約40時間と、長い時間をかけ、多岐にわたる内容について、充実した審議ができたと思います。後日、集計したところ、私の答弁回数は400回を超えていました。
野党からのご指摘を受け、法案の修正も行いました。そうしたこともあって、最終的には参議院で9割を超える議員の賛成を得て成立できましたので(賛成票209、反対票11)、いい議論ができたと感じています。
――サイバー対処能力強化法および整備法の意義について、あらためてご説明をお願いいたします。
近年増加しているサイバー攻撃に関して、国民の皆さんの不安が高まっていると思います。少し前の2022年〜2023年には、名古屋港でランサムウェア攻撃を受けて約3日間機能が停止する事態がありました。また、日本を代表する自動車メーカーが、関連会社を足がかりとした攻撃により大きな被害を受けてしまうという、いわゆる「サプライチェーン攻撃」の恐ろしさを感じさせる事件もありました。
昨年末には、日本を代表する航空会社でサイバー攻撃の影響によって飛行機が飛ばせなくなってしまったり、年が明けてからは大手銀行のシステムがつながらなくなったりということもありました。サイバー攻撃の影響がサイバー空間内にとどまらない、国民生活や国の経済に大きなダメージを与える事例を、皆さん身近な問題と感じていらっしゃると思います。
地政学的リスクに起因するサイバー攻撃、国家を背景としたサイバー攻撃者の活動が増えている状況もあり、世界を見れば、現在も続くロシアのウクライナ侵攻においても、サイバー空間での攻防が激化している現状があります。
そうした中で、国民生活や経済を守る安全保障として、何ができるのかを、海外の事例も参考に検討してきました。これまでの状況では、攻撃を受けてから対策をする、受け身のサイバー防御しかできません。
今回成立したサイバー対処能力強化法、整備法によって、「官民連携の強化」「通信情報の利用」「攻撃者のサーバーなどへのアクセス・無害化」の3本柱による、能動的サイバー防御が可能になります。
「通信の秘密」との整合は「公共の福祉」とのバランスの観点から
――その3本柱の1つ「通信情報の利用」に関しては、「通信の秘密」との整合が焦点になると、当初から予測されたかと思います。どのように整合を図っていったのでしょうか?
そうですね。憲法第21条において「集会、結社および言論、出版その他の一切の表現の自由は、これを保証する」そして「検閲は、これをしてはならない。通信の秘密は、これを侵してはならない」とあり、大変強く守られている基本的な人権の1つです。
一方で、公共の福祉の観点からすれば、(通信の秘密の)一部制約もあり得るという解釈も、専門家の間でされているところでもあります。今回の法律においても、安全保障の観点からすれば、何もできず手をこまねいているしかない状態でよいわけではなく、公共の福祉と通信の秘密とのバランスをしっかり取る、ということが大事だということになります。
今回の法律においては、まず、コミュニケーションの本質に関わるメールやメッセージの本文などは一切見ず、通信のヘッダーやIPアドレスなど、機械的な情報のみを利用します。平たく言えば悪さをするプログラムの動きを探知するため、機械的な情報だけを利用するということで、ご安心いただければと思います。
さらには、監視のための独立機関(サイバー通信情報監理委員会)も設けて、必要があれば立ち入り検査を行い、国会への報告も行うなど、しっかりとガバナンスが保たれる仕組みになっています。この、通信の秘密との整合について、はじめは不安に思う方も多かったかと思いますが、国会でも今のような説明を私からさせていただいて、前述のように、野党からのご指摘を受けて法案の修正も行い、多くの方にご納得いただけたと思っております。
攻撃が発生する前からの情報共有で、サイバーセキュリティ能力を向上
――ほかの2本の柱に関しても、より具体的な内容をお聞かせください。
官民連携の強化については、一例を挙げると、主要な交通機関や通信機関、金融機関といった、いわゆる重要インフラ事業者との情報共有の体制が変わります。これまでは、サイバー攻撃を受けた際に監督官庁へ報告する義務は、「こういう攻撃を受けました」または「攻撃をされています」という、いわば事後報告のものしかありませんでした。これは、情報共有の仕組みも攻撃を受けた後を想定したものしかなかったということです。
今回の法律により、被害がなくても「どこそこのサーバーに侵入された痕跡がある」のような情報共有も行うようになります。攻撃者が、やろうと思えばいつでもサーバーを乗っ取って被害を与えられる状態でずっと侵入して機会を伺っているような状況も考えられますから、被害が出る前に手を打てるようにしておかなくてはいけない。
また、政府が把握している攻撃者の動向――どのような背景を持つ組織が、どのような意図で、どのような攻撃キャンペーンを展開しているのか、といった情報を、秘密を保持しながら官民で共有できる仕組みを作るため、民間にも体制整えていただきます。
攻撃者のサーバーなどへのアクセス・無害化に関しては、独立機関の承認を得て、攻撃者のサーバーが外国にあったとしても、そこにアクセスして無害化することが可能になるよう法整備を行いました。
以上のようなことは、米国、英国、オーストラリアなどでは可能でしたが、日本ではこれまでできませんでした。これが可能になることで、わが国のサイバーセキュリティの能力を格段に向上させることができ、重要インフラを守り、国民生活や経済もしっかりと守れる法律となっています。
サイバー防御は「誰かが頑張ればよい」ということではない
――最後に、現在配布されているリーフレットに「みんなで備えよう」というキャッチコピーが記されていますが、この部分について深掘りといいますか、「みんなで備えよう」という言葉を選ばれた意図をお聞かせください。
今回の法律については、重要インフラ向けなんだな、と感じる方もいらっしゃると思います。ですが、サイバーセキュリティというのは、重要インフラ事業者のみならず、政府のみならず、また当然地方公共団体のみならず、みんなで防御能力を高めていかなければ、効果が出ないものなんですね。
サプライチェーン攻撃について先ほども申しましたが、これは一般に、セキュリティが強固な大企業でなく、手薄になりがちな中小企業をまず狙い、グループ全体に影響を広げようという意図を持っての攻撃です。また、一般家庭にあるWi-FiルーターなどのIoT機器が攻撃者に侵入され、重要インフラへの攻撃に使われるような事態も起こり得ます。
なので、セキュリティは「誰かが頑張ればよい」ということでは全くなく、「みんなで備えていく」必要があるんだという思いで、リーフレットにも書かせていただいたということです。
中小企業であれば、政府でIPA(情報処理推進機構)より「サイバーセキュリティお助け隊サービス」(中小企業のセキュリティに必要なソリューションをワンパッケージにまとめ、民間事業者から提供されるサービス。補助金制度も利用できる)を提供していますので、利用していただきたいと思います。
また、家庭においても、使っているPCやスマートフォンのOS、IoT機器のファームウェアなどをアップデートするとか、パスワードを複雑なものにしておくとか、こういった初歩的な対策をしっかりとやっていただくだけで、かなり防御力が上がります。
セキュリティの話題では、完璧じゃないとダメ、というような話にもなりがちですが、基礎的なレベルができているだけで、確実に攻撃のハードルは上がっていきます。そして、初歩的な対策がしっかりできるかどうかは、技術というよりは意識の問題ではないかなと思います。お金をかけてシステムを導入していただくことも大事ですが、ひとつひとつ意識して基本を押さえていくということも、ぜひ、国民運動にしていきたいと思っています。
――ありがとうございました。
