能動的防御への転換、いよいよ運用段階へ
政府は能動的サイバー防御を可能にするサイバー対処能力強化法の施行に向け、関連省令を公布した。10月1日に予定される本格施行に向けた最終準備の一環で、基幹インフラ事業者の資産届出やインシデント報告、官民協議会の制度設計が具体化された形だ。電力・通信・金融など14分野の重要事業者は新たな対応義務を負うことになる。戦後安全保障政策の大きな節目として、企業側も体制整備を急いでいる。
背景
近年、国家関与が疑われるサイバー攻撃や重要インフラを狙ったランサムウェアが世界的に増加し、日本でも港湾や医療機関への深刻な被害が相次いで発生してきた。従来の日本のサイバー防衛は攻撃を受けてから対応する「受動的防御」が原則であり、欧米先進国に比べて立ち遅れているとの指摘が長年寄せられてきた。こうした状況を踏まえ、政府は安保3文書の流れに沿って能動的サイバー防御の制度化を進めてきた。今回の省令公布は、法律本体を実務で運用可能にする最後のピースと位置付けられている。
論点
推進派は、攻撃元を特定し未然に無害化する権限がなければ重要インフラを守りきれず、国民生活を保護するために必要不可欠な制度だと主張する。基幹インフラ14分野への資産届出義務も、危機発生時の迅速な情報共有に資すると評価されている。一方で慎重派からは、通信の秘密や事業者の負担とのバランスへの懸念が示されている。届出やインシデント報告の運用基準が曖昧なままでは、事業者側の対応コストが膨らみ過剰報告につながるおそれもある。第三者機関による監視や透明性の確保が引き続き課題となっている。
今後の展望
10月の本格施行に向け、政府は事業者向け説明会やガイドライン整備を急ぐ方針だ。届出様式やインシデント分類の細目は、運用しながら継続的に見直される見通しで、官民協議会が実質的な調整の場となる。中小規模の関連事業者まで対応が浸透するかが当面の焦点で、人材育成や予算措置も並行して進められる。能動的防御を支える法的・組織的基盤が動き出す一年となりそうだ。
※本記事は各社の報道をもとに、編集部が再構成したものです。
