本ブログでは、政府が2027年運用開始を予定する能動的サイバー防御の概要と、その柱の一つとなる「官民連携の強化」について解説します。
近年、サイバー攻撃は高度化・複雑化の一途をたどり、安全保障上の大きな懸念となり得る脅威が増加しています。欧米主要国では、官民情報分析機関の設置やインシデント報告義務の対象を重要インフラ事業者だけでなく、関連企業へ拡大する等、サイバー安全保障分野における官民連携の枠組み整備が進んでいます。国内でも能動的サイバー防御の実現に向けた検討が進められており、現時点では基幹インフラ事業者が主な義務対象となっていますが、サイバー安全保障分野での対応能力を欧米水準へ引き上げるという目標が掲げられていることから、将来的には企業も官民連携の主体となることが見込まれます。
本稿が、現在制度設計を進める能動的サイバー防御の動向把握だけでなく、自社のセキュリティ対策を戦略的に見直す一助となれば幸いです。
能動的サイバー防御とは?
能動的サイバー防御(以下、「本取り組み」)とは、日本政府が新たに打ち出したサイバー安全保障に関する取り組みであり、サイバーセキュリティ対策を従来の「攻撃を受けてから認知・復旧・情報共有する」対応から「攻撃前に脅威を検知・分析・無害化する」対応へと転換することを目的としています。
これまで、日本のサイバーセキュリティ対策は侵入の検知や被害が発生してからの対応整備を中心としており、情報共有や有事対応の多くも「官」と「民」がそれぞれ単独で取り組むことが主でした。他方、昨今のサイバー攻撃は高度化・複雑化が著しく、従来のシステム脆弱性を突く攻撃に加え、取引先・委託先を経由したサプライチェーン攻撃やAIを駆使した攻撃の自動化・巧妙化が増加しています。
また、これらの攻撃は企業の情報窃取に留まらず、国家安全保障や社会インフラを脅かすまでに深刻化しており、被害顕在化前の兆候検知も含めた攻撃防御の実現に向けて法制度や体制の整備が求められています。
こうした背景を踏まえ、政府は2025年2月、本取り組みを導入するための法案「サイバー対処能力強化法」及び「同整備法」を閣議決定し、同年5月に成立・公布しました。本法律は公布から1年6カ月を超えない範囲(2026年11月まで)に施行される予定であり、政府は以下の3つを柱とした基本方針の策定に向けて検討を進めています。
能動的サイバー防御の3つの柱と全体像
なお、本取り組みはサイバー安全保障分野における対応能力の向上を図るものであり、基幹インフラ事業者[1]を主な取り組みの対象としています。一方で、今年10月に開催された政府有識者会議では、「サイバー対処能力強化法」に基づく措置、すなわち官民連携の強化や通信情報の利用において基幹インフラ事業者はもとより、電子計算機を使用する者に対する周知など中小企業も含めて広く様々な事業者が対象となり得ることから、必要な周知・広報を行うと結論づけています。なお、これまでの関連する有識者会議において、中小企業はサプライチェーンを構成する、数で90%以上の割合を占めている企業[2]とされており、これら企業は新法施行に向けた理解が求められます。
企業も注目すべき官民連携強化に向けた対応
近年、クラウドサービスの利用拡大やサプライチェーンの複雑化に伴い、攻撃者がターゲットに直接攻撃を仕掛けるのではなく、セキュリティ対策が不十分な取引先や委託先のパソコン・サーバー等に侵入し、間接的に目標ターゲットへの攻撃を図るサプライチェーン攻撃が増加しています。
ウィーケストリンク[3]の考え方が示すように、企業は業種や規模に関わらず、クラウド環境やサプライチェーン上の脆弱性を通じて攻撃経路の一部となる可能性があり、とりわけ、基幹インフラ事業者を取引先に持つ企業がインシデントを起こした場合には、基幹インフラ事業者からインシデントに関する情報提供を求められることが想定されます。また、関連資料の提出や報告に応じないことで罰則の対象となる可能性もあります。直接取引がない企業であっても、安全保障上の懸念を生じさせるようなサイバー攻撃を受けた場合には、被害拡大防止の観点より政府から情報提供を求められることが想定されます。
これに加え、国家レベルでサイバー対応能力を高度化していくにあたっては、従来のような「官」のみ、「民」のみのセキュリティ対策に留まり、規制や報告要請に応じるだけでは十分とは言えず、政府への報告と情報共有ができる社内セキュリティ体制を平時より整備しておくことが求められます。また、それは国家のサイバー安全保障を確保するだけでなく、自社の被害拡大を防いで事業継続性を確保する最も現実的で効果的な手段であるとも言えるでしょう。
事例から読み解く官民連携の重要性
米インフラへのランサムウェア攻撃が浮き彫りにした官民連携の役割
2021年5月、米国最大手の石油パイプライン企業「コロニアル・パイプライン」が、サイバー犯罪集団「ダークサイド」によるランサムウェア攻撃を受けました[4]。窃取されたデータは暗号化されると同時に、データ公開を条件に身代金も要求され、同社は操業停止を余儀なくされました。この影響により米国全体が燃料供給不足に陥りガソリン価格が上昇、結果として、同社は一刻を争うパイプライン復旧の必要性から440万ドルの身代金を支払う苦渋の決断を下したと報じられています[5]。被害から一か月後、米国司法省は身代金の支払いがサイバー攻撃による恐喝をしかねないとして、ダークサイドから230万ドルを押収したと発表しました[6]。
本事例は、その影響が従来のサイバー攻撃とは異なり、国家安全保障上の脅威となり得ることを明らかにしました。しかし、当時の米国政府によるセキュリティ指針には法的拘束力がなく、最終的な対応判断は企業であるコロニアル・パイプライン社に委ねられていました。この事件を契機に、米国政府はサイバー攻撃への対応が官民の連携なくして成り立たないとの認識を明確にし、インシデント発生時の企業の情報開示強化、脅威情報一元化を目的とした新たな大統領令に署名しました[7]。また、本大統領令に基づき、官民のセキュリティ専門家が連携して脅威情報の分析を行う枠組みとして共同サイバー防衛連携(JCDC)が設立されました[8]。
過去最悪のゼロデイ脆弱性への対応で実証された官民連携の効果
JCDCによる官民連携はすぐに功を奏しました。それが2021年12月に公開されたゼロデイ脆弱性「Log4Shell」の事例です。Log4ShellはLog4j 2というライブラリで発見された深刻な脆弱性であり、広く様々な環境で使用されていることから、過去最悪のゼロデイ脆弱性と呼ばれました[9]。サイバーセキュリティ・社会基盤安全保障庁(CISA)は、JCDCにおける情報共有と分析により、脆弱性発見から数時間以内の脅威情報提供や運用上の対応等、包括的な対策の公開に繋がったと発表しました[10]。この対策ページは公開から3週間で30万回以上閲覧され、JCDCによる迅速な対応が情報の混乱を回避し、より多くの企業において能動的なサイバー防御を実現したと言えます。
本取り組みにおける官民連携の重要性について、米国での事例を読み解くと以下の2点が示唆されます。
1点目は、政府と企業が協働してインシデント対応等を行うことの重要性です。基幹インフラ事業者およびそのサプライチェーン関連企業におけるインシデントは、事業継続だけでなく、国民の日常生活をも脅かす恐れがあります。このような有事の際に、企業のみで安全保障の観点を含む的確な対応判断を行うことは非常に困難だと言え、事前に官民が連携し、協力体制を強化することが不可欠です。本取り組みでは、特定重要電子計算機の届け出やインシデント発生時の報告が義務となっており、これには法的拘束力が伴います。平時からこうした義務を通じて官民連携体制を構築することで、有事の際も迅速な連携が可能となり、被害の最小化と早期復旧に繫がります。
2点目は、企業の協力による情報共有の重要性です。JCDCの成功事例を見ると、官民の情報共有基盤構築はサイバー安全保障分野における対応能力の向上に寄与すると考えられます。日本においても、2026年秋を目途に官民協議会の設置が公表されており、活発な情報共有が期待されます[11]。また、将来的には、基幹インフラ事業者以外の企業もこうした官民の協議会や情報共有基盤に積極的に参加し、幅広い情報の提供が求められる可能性があります。このように、企業の自主的かつ積極的な協力を前提としてサイバー攻撃への早期検知や迅速な対応が可能となり、官民一体となった安全保障体制の強化が期待できます。
今こそ見直す、社内のセキュリティ対策
現時点で本取り組みの主な義務対象は基幹インフラ事業者であると指定されているものの、政府は国内サイバー安全保障分野での対応能力を欧米主要国と同等、またはそれ以上に向上させていくことを目標として掲げています。
近年、欧米主要国においては官民連携に係る規制の具体化が進んでおり、重要インフラ向けサイバーインシデント報告法(CIRCIA法)では、指定された16の重要インフラ事業者に加え、サプライチェーン関連企業や第三者サービスプロバイターもインシデントの報告対象に含める方針が予定されています。同法はこれら対象者に対し、重大サイバーインシデントを72時間以内、ランサムウェア攻撃を24時間以内に当局へ報告すること、報告された情報は当局が分析し、警戒情報として還元する仕組みを整備します。また、欧州連合で2023年に施行されたネットワーク情報システム指令2(NIS2指令)においても、従来サイバーセキュリティ規制が適用されていなかった幅広い企業に対し、重大サイバーインシデントの早期通知を24時間以内、インシデント通知を72時間以内に当局へ報告することを命じています。CSIRT Networkでは、欧州加盟国レベルでの情報交換、インシデント対応およびベストプラクティス共有を目的とした官民連携ネットワークが構成されています。
これらを踏まえると、今後国内においても情報共有体制の法制化、報告義務の明確化、政府の分析・フィードバック機能の強化といった官民連携の各種整備が活発化していくことが予想されます。
こうした動きが加速する今こそ、社内のセキュリティ対策を見直してみてはいかがでしょうか。自社のセキュリティ体制における課題を把握し、今後さらにセキュリティレベルを向上させるためには何を実施すべきか、以下の図を参考にぜひご検討ください。
社内セキュリティ対策確認シート
NRIセキュアテクノロジーズではセキュリティ対策状況可視化サービス、セキュリティポリシー ・ガイドライン策定支援、サイバー攻撃対応机上演習サービス、レッドチームオペレーションサービスに加え、あらゆるセキュリティ課題を解決できる多様なセキュリティサービス・製品を備えています。社内セキュリティの強化や運用でお困りのことがあれば、ぜひ当社にご相談ください。
[1] 基幹インフラ事業者とは:
[2] 「サイバー安全保障分野での対応能力の向上に向けた有識者会議」議事要旨:
https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/dai1/gijiyousi.pdf
[3] ウィーケストリンクとは:
全体の安全性や強度は、その構成要素の中で最も弱い部分によって決まるという考え方
[4] コロニアル・パイプライン社の報道記事1:
https://www.bbc.com/japanese/57052827
[5] コロニアル・パイプライン社の報道記事2:
https://www.bbc.com/japanese/57181463
[6] コロニアル・パイプライン社の報道記事3:
[7] コロニアル・パイプライン社への攻撃を契機とした新たな大統領令:
https://www.jetro.go.jp/biznews/2021/05/35e8aca1614f6fe5.html
[8] CISAが公表したJCDC関連のリリース1:
[9] NRIセキュアによるLog4Shellの解説:
https://www.nri-secure.co.jp/glossary/log4shell
[10]CISAが公表したJCDC関連のリリース2:
[11] 官民協議会の報道記事:
https://www.nikkei.com/article/DGXZQOUA258UE0V20C25A6000000/?msockid=1eae3787f14c6a801a0f21e5f0bd6b41
