能動的サイバー防御法案が成立!サプライチェーンを守るために中堅・中小企業が取り組むべきこと
能動的サイバー防御に関わる法案(「重要電子計算機に対する不正な行為による被害の防止に関する法律案」及び「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案」)が2025年5月16日に参議院を通過し成立しました。本法案は、能動的サイバー防御を実施するための体制を整備し、国民生活や経済活動の基盤、そして国家及び国民の安全をサイバー攻撃から守ることを目的としています。
本記事では、能動的サイバー防御法案が施行されるにあたり、特にサプライチェーンを構成する中堅・中小企業への影響や対応をまとめています。
能動的サイバー防御法案の概要
能動的サイバー防御法案は、能動的サイバー防御体制整備のために「官民連携の強化」「通信情報の利用」「アクセス・無害化措置」の3つを柱とし、国家安全保障戦略に基づき高度化するサイバー攻撃から国や重要インフラ等の安全を守ることを目指しています。
サプライチェーンを構成する中堅・中小企業への影響
能動的サイバー防御法案は、主に国の安全や重要インフラ等の防護を念頭に置いたものですが、サイバー空間は常に有事であるとの認識に基づき、社会全体のサイバー強靱性を高めることを目指しています。
このため、中堅・中小企業にとっては、直接的な新たな義務が発生するケースはあまり考えられないとしても、間接的な影響や政府からの支援の機会が増える可能性があります。
現状中堅・中小企業が留意すべきことは以下の3つです。
- サプライチェーン全体での対策強化要請への対応
- 自社システムが攻撃の「踏み台」となった場合のリスク
- 政府による情報提供と支援拡充の可能性
1.サプライチェーン全体での対策強化要請への対応
サイバー攻撃者は、セキュリティ対策が手薄な中堅・中小企業を「踏み台」として大企業や重要インフラ事業者を攻撃する手法を多用しています。
能動的サイバー防御法案は、重要インフラ事業者等に対し、サプライチェーン全体のセキュリティ確保に努めることの重要性を改めて強調しています。 それに伴って、中堅・中小企業にとっては、取引先である大企業や重要インフラ事業者からセキュリティ対策に関する具体的な要請を受ける機会が増える可能性があります。場合によっては、要請されるセキュリティ対策が取引継続の条件となることもあるでしょう。ただし、一方的な要請にならないよう、下請け企業を守るための独占禁止法等の整理も提言されています。
中堅・中小企業のセキュリティ担当者は取引先からの要請内容を正確に把握し、ときには取引先に協力を求めるといったアクションも必要になるでしょう。後述する政府からの支援についても敏感にならなければなりません。
2.自社システムが攻撃の「踏み台」となった場合のリスク
能動的サイバー防御法案によって、政府(警察や自衛隊)が必要に応じて重大なサイバー攻撃の起点となるサーバー等への無害化措置(攻撃に使用されているプログラムの停止・削除など)を実施できる権限が与えられました。
つまり、もし自社のシステムが攻撃の「踏み台」として悪用された場合にも、政府(警察や自衛隊)はそのシステムに対して無害化措置を実施することができるということです。
中堅・中小企業のセキュリティ担当者は、自社のシステムが攻撃者に悪用され「踏み台」とならないように、能動的なセキュリティ対策を実施することが、これまで以上に重要になるでしょう。
3.政府による情報提供と支援拡充の可能性
能動的サイバー防御法案の検討にあたっては、中堅・中小企業が資金や人材等のリソースの制約から自社のみでセキュリティ対策を進めることは困難であるという課題が議論されました。現在は政府による支援の強化が提言されており、本法案を皮切りに推進されていくことが予想されます。
期待したい支援策には、以下のようなものが挙げられます。
- サイバーセキュリティの必要性に関する意識啓発
- 政府主導のセキュリティ関連ツールの提供
- 中堅・中小企業を中心としたセキュリティ人材育成支援
- 脅威情報や脆弱性情報などの政府発信の強化
中堅・中小企業のセキュリティ担当者は、政府からの情報提供や支援にアンテナを張り、それらを積極的に活用しながら、自社のセキュリティ対策を効率的に進めることが求められます。
サプライチェーンを守るために中堅・中小企業のセキュリティ担当者があらためて取り組むべきこと
能動的サイバー防御法案の成立を踏まえ、中堅・中小企業のセキュリティ担当者は以下のような取り組みに注力するべきでしょう。
政府や取引先からの情報を積極的に収集・活用する
サプライチェーン全体での対策強化要請に伴い、中堅・中小企業にとっては取引先からのセキュリティ対策要請の増加が予想されます。しかし、内容を正確に把握できなければそういった要請に応えることはできません。
要請の背景や具体的な対応方法を知るためには、政府や取引先からの関連情報を積極的に収集しておく必要があります。取引先とは日頃からのコミュニケーションを活性化したり、担当者レベルの連携を強化したりといった地道な努力が求められますが、政府からの情報はIPA(独立行政法人情報処理推進機構)や内閣サイバーセキュリティセンターのWebサイトから収集できます。
攻撃の「踏み台」となるリスクを低減するための対策を優先する
前述の通り、自社のシステムが攻撃の「踏み台」として悪用された場合、政府(警察や自衛隊)によって無害化措置(攻撃に使用されているプログラムの停止・削除など)を講じられる可能性があります。
万が一基幹システムを停止・削除された場合は事業を継続することが困難になるため、「踏み台」となるリスクの低減は優先して行うべきでしょう。対策の手順は以下の通りです。
リスクアセスメントを実施する
当たり前ですが、サイバー攻撃者は対策が弱いポイントを集中的に狙います。そのため、まずはリスクアセスメントを実施することが出発点です。
リスクアセスメントとは、自社のサイバーセキュリティリスクを可視化し、優先順位や対応方針を決定するプロセスを指します。実施方法については別の記事でまとめていますので、ぜひご覧ください。
リスクアセスメントに応じて、対策ツールの導入や組織体制の強化を行う
サイバーセキュリティリスクが可視化され、優先順位や対応方針が決まったら、あとはそれに応じて対策を行っていきます。NGAVやEDRといったツールの導入、脆弱性診断やASM、ペネトレーションテストなどの実施、CISO設置や標的型攻撃メール訓練などの組織的セキュリティレベルの向上など、自社に最適な対策を講じ、「踏み台」となるリスクを着実に減らしていきましょう。
能動的サイバー防御法案は新しい法案のため、実態が見えてくるのはこれからです。実効性を持つには少なくとも2〜3年はかかることが予想されます。とはいえ、国家レベルでサイバー攻撃からの防御を強化する第一歩であり、日本にとっては大きな意味を持ちます。中堅・中小企業のセキュリティ担当者としては、この潮流を読み、政府からの支援を賢く活用しながら自社のセキュリティレベルを引き上げていくことが求められます。
サイバーセキュリティラボでは今後も能動的サイバー防御法案の関連情報を発信していく予定ですので、ぜひチェックしてください。
執筆者
