はじめに
2024〜2025年は、日本政府がサイバーセキュリティ政策を大きく転換した時期として記憶されるだろう。ロシア・ウクライナ戦争や中東紛争、台湾海峡を巡る緊張など世界情勢の変化に伴い、国家間のサイバー攻撃は激化している。日本への攻撃の大半は中国、ロシア、北朝鮮など国外から発生していると政府が公表し、JAXAや防衛省、重要インフラへの侵入が相次いだことから、従来の“防御のみ”の姿勢では対処しきれないという危機感が高まった。こうした背景のもと、政府は「積極防御(Active Cyber Defense:ACD)」に舵を切る法案を成立させ、経済安全保障推進法やサプライチェーン対策、SBOM(ソフトウェア部品表)導入ガイド、重要インフラ保護政策の改訂など、複数の政策を連動させて総合的なサイバー戦略を整備している。
本稿では、現行の基本法制と国家戦略、ACD法の概要、供給網リスク対策やSBOM導入ガイド、重要インフラ保護政策など、政府全体のサイバーセキュリティ施策を総覧し、最新動向と課題を解説する。
基本法制と国家戦略
サイバーセキュリティ基本法の役割
日本におけるサイバー政策の根幹をなすのが2014年制定の「サイバーセキュリティ基本法」である。目的条文は、国内外の脅威の高まりを踏まえ「国及び地方公共団体の責務を明らかにし、サイバーセキュリティ戦略の策定等を通じて安全安心な社会を実現し、国際社会の平和と安全に寄与する」ことを掲げる。法は「サイバーセキュリティ」の定義を情報の漏えい・損失・毀損を防ぎ、情報システムや通信ネットワークの安全性と信頼性を確保することと明示する。
基本法では、政策推進の原則として「国・地方公共団体・重要社会基盤提供者など多様な主体の連携によって脅威へ積極的に対応すること」「国民一人ひとりの意識向上と自発的な行動を促すこと」「国際協力を積極的に推進すること」などが示されている。さらに、国や地方公共団体、重要インフラ提供事業者、教育研究機関、一般企業や国民の責務が定められ、国は包括的なサイバー政策を策定・実施する責務を負う。こうした法的枠組みは、民間を含むあらゆる主体が役割を共有し、自由な情報流通と安全の両立を図るという理念を示す。
現行サイバーセキュリティ戦略(2021〜2025)
基本法に基づき、政府は3年ごとにサイバーセキュリティ戦略を定めている。2021年に策定された第3期戦略はデジタルインフラの安全確保、国際連携の強化、民間の底上げを目標としている。国際協力では、ASEANやQuad各国との政策会合や共同演習を積極的に実施し、2024年にはNISCがオーストラリア等と共同で「OT(制御系)サイバーセキュリティの原則」や「イベントログ管理のベストプラクティス」など国際ガイドラインを策定・公表した。政府機関向けには、共通情報セキュリティ基準を定め、GSOC(Government Security Operation Coordinationチーム)が政府ネットワークを常時監視し、機関横断の情報共有を実施している。
この戦略は2024年に向けて補強が図られており、経済安全保障推進法に基づく供給網管理や、国際規範に即したソフトロー活用などが追加されている。2025年からは次期戦略の策定が予定されており、AI・量子技術など新興技術への対応が重点となる見込みである。
積極防御(Active Cyber Defense)法の成立
法案成立の背景
日本では長年、憲法9条が武力の行使を禁止し、通信の秘密を厳格に守る文化が根付いていた。このため、防御一辺倒のサイバー政策が採られてきたが、近年の攻撃の質量的増大、特に中国やロシア、北朝鮮からの高度な攻撃が相次いだことで、政府機関や重要インフラが継続的に狙われている。2022年改訂の国家安全保障戦略では、重大なサイバー攻撃を未然に排除する「積極的サイバー防御(ACD)」の導入が明記され、2024年の専門家会議で具体策が検討された。
ACD法の概要
2025年5月に国会で可決されたACD法は、外国から国内インフラに流入する通信を合法的に傍受・分析する権限を政府に付与し、重要インフラ事業者に対してサイバーインシデントの報告義務を新設する。国内通信は対象外としつつも、外国からの通信から得た情報を脅威分析に活用し、警察庁や自衛隊が攻撃の兆候を早期に察知・対処することを可能にする。この法律により、経済安全保障法で定められた15分野約250社の事業者が報告対象となり、政府と民間の情報共有が強化される。
ACD法は三つの柱から構成されると報じられている。
- 公民協力の強化
- 新設される「サイバー会議」が政府と主要インフラ企業、セキュリティベンダー、学術機関などを結び、リアルタイムの脅威情報共有とインシデント対応を担う。参加者には機密保持義務が課され、政府は必要に応じてデータ提供を要求できるとされる。
- 通信関連データの利用
- インフラ運営者の同意を得て入出力通信データを収集・分析し、脅威検知に活用する。外国から日本に入る通信については同意なく収集することも認められ、フィルタリングで攻撃関連データのみ抽出し、独立した監査委員会が事前審査と運用監督を行う。これは通信の秘密を尊重するための制度的なセーフガードであると説明されている。
- アクセス・無害化措置
- 重大な攻撃が疑われる場合、警察庁が指定した職員が感染端末に遠隔アクセスしマルウェアを特定・無害化することができる。外国のサーバーに対しては外務大臣との協議を要し、自衛隊の出動には首相や国家公安委員会の承認が必要とされる。また、政府の組織再編として、首相直轄の「サイバーセキュリティ戦略本部」を強化し、新たにサイバー担当副長官や担当大臣を設置する計画が盛り込まれた。
評価と課題
ACD法は戦後の受動的な方針から転換し、攻撃者の手口を事前に捕捉・無力化するための制度的基盤を提供する。しかし、通信傍受や遠隔アクセスについてはプライバシー侵害の懸念が根強く、独立監督委員会の実効性やデータ利用範囲の明確化が求められている。また、攻撃者が海外インフラを経由するケースが多く、国際法や外交への配慮が欠かせない。今後の施行にあたっては透明性と市民理解の確保、国際連携の強化が鍵となるだろう。
経済安全保障推進法と供給網リスク対策
経済安全保障推進法の概要
2022年施行の経済安全保障推進法は、サイバー攻撃による技術流出や社会混乱を防ぐ観点から、重要物資や技術の供給網管理を強化するものである。2024年のフォートラ社の解説によれば、同法はセンシティブな技術やサプライチェーンに対して政府による審査権限を認め、データローカライゼーションやクラウドサービスにまで規制を拡大した。2024〜2025年にかけては、外国製ICT機器の調達監視を強化し、特定重要インフラの事業者には調達元の開示とリスク評価の実施を義務付ける「供給網管理措置」が導入された。また、重大事故報告制度の拡大、金融・医療・交通などへの迅速な報告義務付け、民間企業との共同演習の定期化など、実務的なアップデートも行われている。
改訂版サイバーセキュリティ経営ガイドライン
サプライチェーン管理の強化は企業の経営レベルでも求められている。METIとIPAは2023年3月に「サイバーセキュリティ経営ガイドライン(CMG)」を改訂し、経営者の責任と具体的な管理項目を示した。ガイドラインでは、経営陣がサイバーリスクを企業の経営課題として認識し、国内外の拠点や取引先、委託業者を含むサプライチェーン全体に対して対策を浸透させることを明確に求めている。リモートワークの普及やランサムウェア被害の拡大を背景に、ガイドラインは「全サプライチェーンへの対策徹底」「ESG投資に対応したガバナンス強化」「経営層・CISOの関与」など10項目を掲げ、2023年10月には実践的なベストプラクティス集を発表した。
特に注目すべきは、供給網リスクの高まりに応じて企業が自社サプライヤーだけでなくさらに下流までリスク評価を実施することを推奨している点である。こうした動きは政府が経済安全保障の視点からサプライチェーンの透明性と強靭性を求めていることを反映しており、海外企業との取引にも影響を与えている。
SBOM導入ガイドの策定
ソフトウェアサプライチェーンの透明性向上に向け、METIは2023年7月に「SBOM導入ガイド ver.1.0」を発表し、2024年8月にはパブリックコメントを反映したver.2.0を公開した。SBOM(Software Bill of Materials)はソフトウェアに含まれる部品一覧を示す仕組みで、脆弱性管理やセキュア開発の鍵となる。METIのプレスリリースは、SBOMガイドの背景として、近年ソフトウェアの脆弱性管理にSBOMが注目されており、CISAが提唱する「Secure-by-Design」アプローチに基づき、日本政府もSBOMの導入を推奨していると説明する。改訂版ガイドでは、企業が脆弱性管理プロセスの中でSBOMをどう活用するか、適用範囲やコストを考慮した導入方法、発注者と受注者の契約上の責任や権利などを具体的に示している。企業の規模にかかわらずSBOMの採用を促し、中小企業も活用しやすいよう支援策が検討されている。
重要インフラ保護政策のアップデート
日本政府は、2005年に「重要インフラ防護のためのサイバーセキュリティ政策(CPCIP)」を策定し、2022年に改訂版を公表した。CPCIPは14の重要インフラ分野(情報通信、金融、航空、空港、鉄道、電力、ガス、行政、医療、水道、物流、化学、クレジットカード、石油)を対象に、国家・地方・事業者の責務やインシデント対応、情報共有体制、リスク管理を定める。改訂版では、組織全体のサイバー体制が内部統制の要件と位置づけられ、経営陣の法的責任が明確化された。さらに、2023年7月には「安全基準策定ガイドライン(GESP)」が発表され、強制基準と推奨基準、独自基準、利用者向け基準など4種類の「安全原則」を整理し、事業者が理解しやすい形で提示している。
また、港湾・空港を新たに重要インフラに追加するなど保護対象の拡大が続いている。NISCは重要インフラ運営事業者向けのリスクマネジメントガイド(RMG)を作成し、平時の防御から有事の対応、復旧までの実務を支援している。今後は自動車や衛星通信といった新たなインフラ領域への適用も検討されている。
政府機関向け共通基準とGSOCの強化
NISCは政府機関および関連機関の最低限の対策を示した「共通基準」を毎年改訂している。2023年度版はゼロトラストの概念を取り入れ、職員のアカウント権限管理やログ監視、暗号化通信の徹底などを義務化した。GSOCはこれら基準の実施状況を監査し、不審な通信を検知すると関係機関に警報を発する。この中央監視体制は政府機関間の情報共有と迅速な対応を支えるが、地方自治体や独立行政法人までカバーしきれていないとの指摘があり、監視範囲の拡大が課題である。
個人情報保護法と国際調和
サイバー政策はデータ保護制度とも密接に関わる。個人情報保護法(APPI)は2022年改正により漏えい時の報告義務や越境移転規制が強化され、国内企業がEUのGDPRと同様の水準で個人情報を管理することを求めている。また、APPIは国境を越えたデータ移転において十分性認定を受けているため、EUとのデータ流通が維持されている。政府は2024年にマイナンバーカードの用途拡大とともに個人情報保護委員会の監督権限を強化し、デジタル庁や厚労省などとの連携を進めた。このようなデータガバナンスの整備は、サイバー施策と相補的に機能している。
国際連携と先進諸国との協調
日本はサイバー領域で国際連携を重視してきた。NISCが公開している活動概要によると、日ASEANサイバー政策会合やQuadサイバー・チャレンジなど多国間協力を通じて人材育成やインシデント対応演習を実施している。2024年には、日本政府がオーストラリアや米国の機関と共同で「エッジデバイスのリスク低減策」や「限られたリソースでも実施できる脅威軽減策」といった国際ガイドラインを策定した。また、CISA主導の「Secure-by-Design」宣言に日本が署名し、ソフトウェアメーカーにセキュリティを設計段階から組み込むことを求めている。これらの国際協調策は、日本が国際的な規範形成に参画し、自国の政策と整合させる動きであり、今後も深化が期待される。
今後の展望と課題
政府全体のサイバーセキュリティ政策は、法制化・国際協調・サプライチェーン管理・人材育成など多面的なアプローチで強化されている。しかし課題は多い。ACD法の運用にはプライバシー保護と民主的統制が欠かせず、透明性の高い監視体制が求められる。また、中小企業や地方自治体などリソースの限られた主体に対して、SBOMの導入支援やサプライチェーン評価の標準化を提供することも重要である。
今後、量子コンピュータの実用化やAI生成攻撃など新たな技術がサイバー脅威の様相を変えるだろう。政府はポスト量子暗号やAIセキュリティ評価ガイド(IPAのAISIガイドなど)を通じて先手を打ち、国際社会と協調しながら法制度を柔軟に更新していく必要がある。国民一人ひとりのリテラシー向上と、産学官を挙げた人材育成が政策の実効性を左右することは言うまでもない。
おわりに
2024〜2025年にかけて、日本はサイバーセキュリティ政策の抜本的な転換を遂げつつある。基本法の理念のもと、国家戦略に基づく行動計画を積極防御法や経済安全保障法、サプライチェーン対策、SBOM導入ガイド、重要インフラ保護政策と組み合わせることで、政府・民間・国民を巻き込んだ総合的な枠組みが形成されている。今後は実際の運用と効果検証を通じて、透明性と国民の信頼を確保しつつ、迅速に改善を重ねることが求められる。サイバー空間はグローバルに相互接続されており、日本国内の政策も国際的な協調と整合性の中で進化していかなければならない。こうした視点を持ちながら、読者一人ひとりが自らの組織や生活におけるサイバー対策を見直す契機としてほしい。
