【弁護士が解説】能動的サイバー防御とは?新法の3つの柱と企業の対策
2025.10.06UP!
- blog
- IT法務
- コンプライアンス
- サイバーセキュリティ
- リスクマネジメント
- 企業法務
- 個人情報保護法
- 新法解説
- 能動的サイバー防御
2025年5月20日付
2025年5月に「能動的サイバー防御」関連法が成立しました。これにより、増大するサイバー攻撃の脅威に対し、政府がより積極的に関与する道が開かれます。しかし、「法律ができたけど、自社にどう関係するのか?」「具体的に何を準備すればいいの?」といった疑問をお持ちの法務・システム担当者の方も多いのではないでしょうか。
そこで本記事では、【能動的サイバー防御】関連法の3つの主要な柱と、企業が今すぐ準備すべき実務対応について、法案情報を基に専門家が分かりやすく解説します。
能動的サイバー防御の柱①:官民連携の強化
今回の新法における最大のポイントは、政府と民間企業が一体となってサイバーセキュリティに取り組む体制を法的に整備した点です。これまで各企業の努力に任されがちだった対策を、国全体の課題として捉え直しました。その上で、情報共有やインシデント報告の仕組みを強化します。
基幹インフラ事業者の義務化
国民生活に不可欠な電気、ガス、金融など15分野の事業者は「基幹インフラ事業者」とされます。これらの事業者には、特に重い責任が課されることになりました。具体的には、重要システムの導入時の事前届出や、サイバー攻撃を受けた際のインシデント報告が義務化されたのです。もし報告を怠った場合、200万円以下の罰金が科される可能性があり、注意が必要です。
情報共有を促進する協議会の設置
さらに政府は、事業者間で攻撃手口などの情報を円滑に共有するため、新たに協議会を設置します。この協議会には守秘義務が課されます。そのため、各社は自社の被害情報を安心して共有でき、結果として業界全体の防御力向上が期待されます。
能動的サイバー防御の柱②:政府による通信情報の限定的な利用
新法では、サイバー攻撃の予兆を検知・分析するために、政府が必要最小限の範囲で通信情報を取得・利用することが認められました。ただし、これはプライバシーへの配慮から、極めて厳格なルールと第三者機関による監視の下で行われます。
厳格なルールに基づく情報取得
- 同意に基づく取得:まず原則として、基幹インフラ事業者等との協定(同意)に基づき情報を取得します。
- 同意によらない取得:一方で、国外を発信源とする攻撃など、特に重大な脅威を探知する場合には、例外的に同意なしでの取得が認められます。
取得された情報は、機械的な処理によって自動で選別されます。これにより、攻撃に関連する情報のみが抽出され、個人の通信内容が捜査員の目に直接触れることはありません。また、このプロセス全体は、独立性の高い「サイバー通信情報監理委員会」が厳しくチェックします。
能動的サイバー防御の柱③:攻撃元サーバーへのアクセスと無害化
国民の生命や財産に重大な危害を及ぼすサイバー攻撃が差し迫っている場合、政府は攻撃者のサーバーにアクセスできます。そして、マルウェアなどを無力化する措置(無害化措置)を講じることが可能になりました。これは、いわばサイバー空間における消防・警察活動のようなものです。
措置発動の厳格な条件
この強力な権限は、乱用を防ぐため極めて限定的な状況でのみ行使されます。具体的には、「人の生命、身体又は財産に対する重大な危害発生のおそれ」があり、かつ「緊急の必要性」が認められる場合に限られます。さらに、措置の実行は専門の「サイバー危害防止措置執行官」が担い、その妥当性は委員会が事後的に承認・確認する仕組みです。
【重要】新法を受けて企業が準備すべき実務対応
では、この法改正に伴い、企業の法務部門や情報システム部門は何をすべきでしょうか。特に重要なのは、インシデント発生時に迅速かつ適切に対応できる社内体制を構築することです。
[専門家の視点]
今回の法改正は、サイバーセキュリティが単なる「コスト」ではなく、事業継続に不可欠な「投資」であることを明確に示しました。特にインシデント報告義務は、曖昧な対応を許さないという国の強い意志の表れです。平時から報告基準を明確にし、ログ保全のルールを徹底しておくことが、有事の際に企業を守る鍵となります。
①報告基準(閾値)と報告手順(SLA)の策定
まず、法務部門と情報システム部門は密に連携しましょう。そして、「どのようなインシデントが発生した場合に政府へ報告するか」という基準(閾値)をあらかじめ定めておく必要があります。例えば、「システム復旧に6時間以上を要する場合」や「1万人以上の顧客情報に影響が及ぶ場合」など、具体的なシナリオを想定し、報告フローを文書化しておくことが重要です。
②証拠保全のためのログ管理体制の強化
万が一インシデントが発生した場合、政府への報告やその後の調査には、正確なログデータが不可欠です。そのため、誰が、いつ、どのデータにアクセスしたのかを追跡できるよう、ログの取得範囲を見直す必要があります。その上で、ログが改ざんされないように安全に保管する仕組み(WORMストレージの活用など)を整備することが求められます。
参考情報(一次情報源):