01
2024.04.20(Sat)
目次
2026年10月1日より、サイバー対処能力強化法が施行されることをご存じでしょうか。
サイバー対処能力強化法(正式名称:重要電子計算機に対する不正な行為による被害の防止に関する法律)とは、重要インフラやサプライチェーンに対するサイバー攻撃が深刻化する中で、その被害をできるだけ早く見つけ、社会全体に広がる前に防ぐための法律です。企業だけで対応するのではなく、国と民間事業者が情報を共有しながら、重要なシステムを守る体制を整えることを目的としています。
このように、攻撃の兆候を早期に把握し、被害が広がる前に対応する考え方を「能動的サイバー防御」といいます。たとえば、重要インフラ事業者からの報告や、サイバー攻撃の分析に必要な通信情報の利用などを通じて、国と民間が連携しながら被害の拡大を防ぐことも、能動的サイバー防御に含まれます。
サイバー対処能力強化法では、こうした能動的サイバー防御を実際の制度として動かすために、企業や政府がどのように連携し、どのようにサイバー攻撃へ備えるのかが定められています。

サイバー対処能力強化法および同整備法は2025年5月23日に公布され、一部の規定を除き、2026年10月1日に施行されます。特に、「基幹インフラ事業者」に対しては、新たな届出・報告の義務化が始まります。
基幹インフラ事業者とは、電気、ガス、水道、通信、金融、交通、クレジットカードなど、社会生活や経済活動に欠かせないサービスを提供する事業者のことです。こうした事業者のシステムがサイバー攻撃を受けてストップすると、企業の業務だけでなく、生活や社会全体に大きな影響が出る恐れがあります。そのためサイバー対処能力強化法では、基幹インフラに関係する事業者のうち一定の事業者を「特別社会基盤事業者」と位置づけ、届出や報告に関する義務を定めています。
たとえば、基幹インフラ事業者が「特定重要電子計算機」を導入したときは、その製品名等を事業所管大臣に届け出る必要があります。特定重要電子計算機とは、重要インフラを支えるシステムの中でも、止まると社会生活や企業活動に大きな影響が出る恐れがあるものを指します。発電設備や通信ネットワーク、金融サービス、交通インフラなどを監視・制御・運用するシステムが、その対象になり得ます。
もし基幹インフラ事業者が、不正アクセスにより自社の特定重要電子計算機のサイバーセキュリティが害された場合、もしくはその原因となり得る一定の事象を認知した場合は、その旨と一定の事項を、事業所管大臣および内閣総理大臣に報告することが新たにルール化されます。
つまり、被害が確定してから報告するのではなく、攻撃の兆候や、被害につながる恐れのある異常を把握した段階で、早期に共有することが求められる、ということです。
罰則も設けられています。基幹インフラ事業者がインシデント報告等を行わず、是正命令を受けても対応しない場合は、200万円以下の罰金の対象となります。資料提出等を求められても対応しない場合は、30万円以下の罰金が科されます。
もう一つの大きな変化が、「通信情報の利用」です。これは、サイバー対処能力強化法に基づき、政府が通信情報を取得・分析し、サイバー攻撃の兆候を早く見つけるために設けられる新たなルールです。
サイバー攻撃では、攻撃者が外部のサーバーを使って、感染した端末に指示を出したり、盗んだ情報を受け取ったりすることがあります。そこで、どのような通信先と接続しているのか、通常とは違う通信の動きがないかといった情報を分析し、攻撃の兆候を見つけようとするのが、通信情報の利用です。
ここでいう「通信情報」とは、誰とどのような通信をしているのか、通常と違う通信の動きがないかといった、攻撃の兆候を見つけるための手がかりのことです。その手掛かりを分析し、不審な動きを見つけ、関係する事業者に知らせることが「利用」にあたります。
一方で、通信情報の利用には、通信の秘密やプライバシーへの配慮が欠かせません。法の適用にあたっては、通信の秘密その他の国民の権利と自由を不当に制限してはならない旨が示されています。
政府が取得した通信情報は、人間がひとつずつ確認するのではなく、あらかじめ定められた条件に沿って自動的に選別されます。その後、攻撃の兆候を見つけるために必要な通信先や通信パターンなどが抽出され、攻撃との関係がない情報は速やかに削除する流れが想定されています。
まとめると通信情報の利用とは、あらゆる通信を広く監視したり、通信内容を一つひとつ確認したりするものではありません。攻撃の検知や分析に必要な情報だけを限定的に扱い、その管理を厳格に行うための取り組みといえます。
今回の法整備では、情報共有の枠組みも強化されます。具体的には、国の関係機関や基幹インフラ事業者、システムや機器を提供するベンダーなどが、サイバー攻撃に関する情報を共有する「情報共有及び対策に関する協議会」を設けることが想定されています。
この協議会では、サイバー攻撃の兆候や脆弱性、被害防止に関わる情報など、外部に出ると悪用される恐れのある情報が扱われる可能性があるため、参加者には守秘義務が課されます。協議会で知り得た非公開情報を不正に利用したり、外部に漏らしたりした場合には、2年以下の拘禁刑または100万円以下の罰金の対象となります。制度として情報共有を進める一方で、その情報を安全に扱うためのルールも設けられているということです。
脆弱性への対応も強化されます。たとえば重要インフラで使われる機器やソフトウェアに、攻撃者に悪用される恐れのある弱点が見つかった場合、政府からメーカーやベンダーに対し、その情報が提供されることがあります。特に影響が大きいシステムに関係する場合には、事業所管大臣からメーカーやベンダーに対し、修正パッチの提供や注意喚起など、必要な対応が求められることもあります。
ここまで述べてきたように、サイバー対処能力強化法によって最も大きな影響を受けるのは、基幹インフラ事業者であることには間違いありません。ただし、同法の影響は、基幹インフラ事業者と取引・接続・委託関係にある企業にも及ぶ可能性があります。
たとえばクラウド事業者、システム開発会社、保守ベンダー、機器メーカー、業務委託先などは、インシデント時のログ提供、脆弱性情報の共有、修正対応、緊急時の連絡体制などで、協力を求められることも考えられます。
攻撃者は、基幹インフラ事業者の中核システムだけを狙うとは限りません。委託先のアカウント、保守用の接続経路、外部サービス、ソフトウェア更新の仕組みなど、周辺の弱い接点が侵入口になることもあります。
2026年10月1日の施行を見据え、対象事業者だけでなく、その取引先も、自社が関わるシステム、ログ、契約、連絡体制を確認しておくことが重要です。
OPEN HUB
THEME
Cyber Resilience Transformation
#セキュリティ