能動的サイバー防御法案｜中小企業への影響と具体的な対策

2023年7月に名古屋港で発生したランサムウェア攻撃は、日本のサイバーセキュリティ対策の脆弱性を浮き彫りにする出来事となりました。港湾システムは約3日間にわたって停止し、コンテナ約2万本の出荷が滞ったことでサプライチェーンを通じてトヨタ自動車をはじめとする複数の製造拠点にも影響が波及。物流の混乱は産業全体に広がり、経済的な損失も少なくなかったと報告されています。

このような重大インシデントを受け、政府は従来の「攻撃を受けた後に対応する」という受動的な防御体制から、「攻撃の兆候を事前に察知し、被害が出る前に先手を打つ」という能動的なサイバー防御への転換を打ち出しました。その方針を具体化する法整備として、まさに本稿執筆時点である本日、可決・成立したのが「サイバー対処能力強化法案」および関連の整備法案（通称、能動的サイバー防御法案）」です。この法案の可決・成立により企業や自治体をはじめとした多くの組織にとって実務レベルでの影響が注目されています。

内閣官房サイバー安全保障体制整備準備室が公開した説明資料によれば、過去10年間でサイバー攻撃に関連する通信や被害件数は増加の一途をたどっており、国家レベルの攻撃リスクも高まりを見せています。こうした背景からこれまでの枠組みでは十分に対応できないとの認識が政府内で共有され、今回の法案整備へとつながっています。

^{※具体的なガイドライン策定などが各省庁主導で進んだ後のより詳細な影響については、引き続き情報を整理し適宜お知らせしてまいりますので、今後もサイトをご確認ください。}

今回の法案では、従来の枠組みを超えて「兆候の把握」「即時通知」「迅速対応」のための制度インフラが新たに整備されます。主な変更点は以下の通りです。

通信事業者から提供されるメタデータ（IPアドレス、通信先、日時など）を政府が取得・分析する体制については、法的な枠組みが整いつつあり、今後は本格的な運用に向けた準備が進められる見通しです。通信の本文には踏み込まず、プライバシーにも配慮したうえで攻撃の兆候を早期に捉えることが目的とされています。

攻撃の兆候が検知された場合、政府から関係機関や企業に対して、速やかにリスク情報が通知される仕組みが導入されます。これにより、企業側は被害が拡大する前に、該当する通信の遮断やアクセス制限などの初動対応が可能となります。

通知を受けた企業は、危険なIPアドレスとの通信遮断などの対応を自主的に求められる可能性があります。明確な義務ではないものの、実質的なセキュリティ対応の基準として機能することが予想されます。

政府による通信情報の取得・分析に対する不安や懸念に応えるため、政府の活動を監視・評価する独立機関「サイバー通信情報監理委員会」の設置も計画されています。これにより、国による介入の正当性や適正性が外部からチェックされる仕組みが担保されます。

前項では、法案によって構築される新たな制度の全体像をご紹介しました。
ここでは、これらの制度が中小企業にどのようなかたちで影響してくるのか、実務レベルの視点から整理していきます。特に注目されるポイントは以下のとおりです。

政府が設置する「情報共有及び対策に関する協議会」には、大企業や基幹インフラ事業者だけでなく、中小企業やベンダーも構成員となることが想定されます。これにより、中小企業もサイバー攻撃の兆候や脆弱性情報を早期に受け取る立場となり、日常的な情報収集と初動対応体制の整備が求められるようになります。

IT製品やソフトウェアに深刻な脆弱性が発見された場合、政府は供給事業者に対し是正措置の要請を行う権限を持つことになります。中小企業であっても、製品・サービスの供給元であればこの要請の対象となり、迅速なパッチ提供や利用者への注意喚起対応が求められる場面が増えるでしょう。

中小企業のネットワークが攻撃対象の経路上に存在する場合、政府の分析対象となる通信に含まれることがあります。企業としては通信ログの管理体制やプライバシー対策の明確化を進める必要があり、セキュリティポリシー全体の見直しも視野に入れるべきでしょう。

以下は、今回の制度の運用に伴い想定される実務上の影響例です。

たとえば、特定の送信先との通信を制限するなど、ネットワークの制御や監視の体制を事前に整えておくことが重要になります。この際、社内のSIEM等セキュリティ機器に、通知された情報を迅速に反映できる仕組みの導入が望ましいでしょう。

「サイバー対処能力強化法案及び同整備法案について」の中でも、通信事業者から提供された特定通信情報（IPアドレス等）をもとに攻撃兆候を検知する仕組みが示されており、通知内容がIPリストの形式で提供されることが想定されます。そのため、自社のセキュリティ基盤においても、こうした情報をもとにブロックルールを追加したり、ログを重点的に監視したりできる柔軟な対応体制が求められます。

政府からの情報を受けてすぐに対処できるように、どのように通信をブロックするか、誰が設定変更するのかといった対応の流れを整理しておく必要があります。またこうした通知を受けた後に、社内でどのように対応を判断し、実行に移すのかという「情報の流れ」や「決定のルール」も明確にしておくことが重要です。

緊急時に信頼できる外部窓口が確保されていることは、万が一のインシデントが発生した際に初動対応を迅速かつ的確に進めるための重要な基盤となります。状況の判断や技術的な対応に迷った際にも、専門的な助言を得られる体制があることで社内だけで抱え込まずにリスクを最小限に抑えることが可能になります。

日本の能動的サイバー防御法案の成立は、近年各国が国家レベルでのサイバーセキュリティ強化を進める中での動きの一部として考えられます。それでは他国はどのような動きを見せているのでしょうか。以下に、欧州連合（EU）、アメリカ、オーストラリアにおける代表的な法制度の概要を紹介します。

EUでは2024年12月10日に「Cyber Resilience Act（CRA・サイバー・レジリエンス法）」が施行されました。この法律は、IoT機器やソフトウェア、産業用制御システムなどのデジタル要素を含む製品に対し、設計段階から廃棄に至るまでの全ライフサイクルにわたるセキュリティ対策を義務付けるものです。製品の脆弱性管理やセキュリティ更新、インシデント報告などが求められ、2027年12月11日から本格施行が予定されています。

アメリカでは、連邦と州の両レベルで多様なサイバーセキュリティ関連法が整備されています。2024年には複数の政府機関にまたがるサイバーセキュリティ要件の重複を解消し、規制の一元化を目指す「Streamlining Federal Cybersecurity Regulations Act」が連邦議会に提出されました。

オーストラリアでは2024年11月に「サイバーセキュリティ法（Cyber Security Act 2024）」が制定されました。この法律はスマートデバイスに対するセキュリティ基準の義務化や、ランサムウェア攻撃の報告義務、重大なサイバーインシデントの調査を担う「サイバーインシデントレビュー委員会（CIRB）」の創設などを柱としています。国家サイバーセキュリティ戦略（2023–2030）の一環として重要インフラ事業者への規制強化も含まれています。