序論
サイバー空間は国家の枠を越えて相互に接続されており、脅威も防御策も国境を超えて影響し合っている。各国・地域は法制度や標準化の整備を急ぎ、官民や国家間の連携を強化している。本稿では、欧米や中国を中心とした国際的な政策動向と、CSIRT(Computer Security Incident Response Team)の協力体制、国際標準化の最新動向についてまとめる。合わせて、これらの動きが日本の政策や企業にどのような示唆を与えるかを考察する。
欧州連合(EU)の動向
NIS2指令
EUは2016年にNIS1指令を制定し、エネルギー・交通・医療などの重要分野にサイバーセキュリティ対策を義務付けた。2023年1月に改正指令「NIS2」が施行され、対象分野を18の重要セクターに拡大し、各加盟国に国家サイバーセキュリティ戦略の策定やサプライチェーン管理、脆弱性管理、教育啓発を求めている。中規模以上の事業者はリスク管理措置と重大インシデントの報告義務を負い、経営層に対して違反への責任を問う規定も盛り込まれた。さらに、加盟国間で脅威情報を共有するCSIRTネットワークと、大規模インシデント時に調整役となるEU‑CyCLONe(欧州サイバー危機連絡機構)を設けている。
サイバー・レジリエンス法
EUは2024年12月に「サイバー・レジリエンス法(CRA)」を制定し、デジタル製品に対して一律のサイバーセキュリティ要件を課した。同法は製品の計画・設計・開発・保守の各段階においてセキュリティ対策と脆弱性対応を義務付け、一部の高リスク製品には第三者機関による認証を要求している。企業はCEマーキングを用いて適合を示し、報告義務は2026年9月から、主要義務は2027年12月から適用される。CRAはNIS2指令や欧州サイバーセキュリティ戦略を補完し、製品ライフサイクル全体でのセキュリティ確保を目指すものである。
米国の戦略
米国の「国家サイバーセキュリティ戦略」(2023年3月)は五つの柱で構成される。具体的には①重要インフラの防御、②脅威主体の撲滅、③市場の力を利用したセキュリティとレジリエンスの形成、④将来のレジリエントな基盤への投資、⑤国際連携の推進である。同戦略は二つの根本的な転換を掲げる。一つはサイバー防御の責任をエンドユーザから最も能力のある事業者やテクノロジー提供者へ再配分することであり、個人や中小企業に過大な負担を負わせないと宣言している。もう一つは、長期的な投資と安全なインフラ構築を促すインセンティブ設計であり、暗号技術の近代化やゼロトラスト・アーキテクチャへの移行を政府自らが率先して行うことで市場を牽引する。
中国のデータ規制
中国では2021年に「データ安全法(DSL)」と「個人情報保護法(PIPL)」が施行された。DSLはデータを国家安全に対する影響度で分類し、「核心データ」「重要データ」の国外移転には政府の安全評価や承認を義務付けている。重要インフラ事業者は中国国内でデータを保存し、国外への提供前に自己審査を行う必要がある。また、国内外の活動で中国の国家安全を損なうと判断されれば域外適用がされる。PIPLは個人情報を広く定義し、処理には事前同意を求め、一定量を超えるデータを扱う事業者にはローカル代表者の設置や越境移転時の追加要件を課している。違反時には最大5000万元(約7.78百万米ドル)の罰金や事業停止命令が科される。これらの法律は各国企業にデータローカライゼーションや越境移転管理の厳格化を迫っている。
国際連携とイニシアティブ
カウンターランサムウェア・イニシアティブ(CRI)
74か国が参加する国際的な枠組みであるCRIは、2025年10月にシンガポールで第5回サミットを開催し、ランサムウェア対策の協力を再確認した。参加国は、①ランサムウェアへの集団的レジリエンス向上、②犯罪者とその支援者の責任追及、③ランサムウェアビジネスモデルを支える仲介者の排除、④強固な国際パートナーシップの構築、⑤メンバー間の積極的な情報共有、⑥サイバー空間における国家の責任ある行動の促進を共同コミットメントとして採択した。同サミットでは情報共有ガバナンスフレームワークを採択し、供給網のレジリエンスやIoT機器のランサムウェア対策、ランサムウェア法制に関するベストプラクティスガイドなど複数のプロジェクトが進められている。
国連オープンエンドワーキンググループ(OEWG)
国連総会のOEWGは2021~2025年の議論を経て最終報告書を採択し、サイバー空間における国家の行動規範や国際法の適用について合意した。報告書は、2015年の政府専門家会合(GGE)報告書が提示した11の自発的かつ非拘束的な規範を再確認し、各国がこれらの規範を実施・普及させることを強調している。また、国連憲章を含む国際法がICT分野にも適用されることを明確化し、信頼醸成措置や能力構築が重要であると指摘した。特に途上国の能力構築支援や地域機関の役割が強調され、持続的かつニーズに応じた支援が提案された。
CSIRTの国際協力
サイバーインシデント対応組織であるCSIRTは世界各国で活動しており、国際連携が不可欠となっている。日本のJPCERT/CCはアジア太平洋地域のCSIRT連合体であるAPCERTの運営委員会メンバーとして主導的役割を担い、2025年のサイバー演習「When Ransomware Meets Generative AI」では18の経済圏から24チームが参加し、OIC‑CERTやAfricaCERTのゲストチームも招いてランサムウェアと生成AIの複合脅威への対応能力を鍛えた。JPCERT/CCはまた、国際CSIRT連盟FIRSTの理事を務め、2025年のラバト会合に参加している。アジア・欧州のCSIRT間で相互訪問を行い、情報共有と協力関係の強化に努めている。
欧州ではNIS2指令に基づき各国のCSIRTが連携する「CSIRTネットワーク」が構築され、加盟国間で脅威情報を交換し、大規模インシデント時にはEU‑CyCLONeが調整役を担う。このネットワークと欧州ネットワーク・情報セキュリティ庁(ENISA)が各国の能力向上を支援している。米国ではCISAが中心となり、政府・重要インフラ向けのサイバーセキュリティパフォーマンス目標を定め、JCDC(Joint Cyber Defense Collaborative)を通じて民間企業や同盟国との協調防衛を推進している。中国では国家インターネット緊急センター(CNCERT/CC)がAPCERTに参加しつつ、国内の制御下で情報共有を行っている。
国際標準化の動向
ソフトウェアや製品の安全性確保には国際標準の策定と遵守が欠かせない。JPCERT/CCは情報処理学会を通じてISO/IEC JTC1/SC27の作業部会に参加し、脆弱性情報公開の国際標準「ISO/IEC 29147」と脆弱性ハンドリング標準「ISO/IEC 30111」の改訂作業に携わっている。これらの標準は日本の早期警戒パートナーシップでも参照されており、国際的な枠組みとの整合を図ることが重要である。
EUはCRAの施行に伴い、製品のサイバーセキュリティ認証制度の整備と標準化を促進している。また、ENISAが主導する欧州サイバーセキュリティ認証枠組み(EUCC)は共通評価基準(Common Criteria)をベースにし、加盟国間の相互認証を進めている。米国でもNISTが量子耐性暗号やAIセーフティの標準化を進めており、国際連携が求められる。
考察と今後の展望
多国間協調の重要性
国際的なサイバー政策の共通点は、協調と標準化によってレジリエンスを高めようとしている点にある。EUのNIS2指令は加盟国間で統一的な法制度とCSIRT連携を構築し、サプライチェーン管理や脆弱性管理を国家戦略に組み込んでいる。CRAは製品ライフサイクル全体にセキュリティ要求を設け、標準化・認証制度を通じて市場における安全性を高める。米国の国家戦略は責任分担と長期投資の必要性を明示し、政府と産業界の役割分担を再定義している。中国はデータ規制によって国家安全と個人情報保護を重視し、データの越境に厳しい管理を課している。
民間セクターへの影響
グローバル企業は複数の地域規制に対応する必要がある。EUでは、デジタル製品の開発段階からサイバーセキュリティを考慮し、CEマーク取得のために第三者認証を受ける必要がある。米国では、ソフトウェアベンダが安全な設計と長期的なメンテナンスを提供しなければならず、政府は脆弱なソフトウェアに対する賠償責任の仕組みを検討している。中国ではデータのローカル保存や越境移転の事前審査が義務付けられ、企業に大きな負担を強いる。こうした規制環境の複雑さは、国際的な標準化と相互承認の重要性を高めている。
日本への示唆
日本はEUや米国の動向を踏まえ、サプライチェーン全体のセキュリティ確保やデジタル製品の安全性評価制度の整備を進めている。国内のCSIRT(JPCERT/CC)はAPCERTやFIRSTの活動を通じて国際連携を深化させており、国際基準への関与を継続することが求められる。国際規格改定への参画は、日本企業がグローバル市場で競争力を維持するうえでも重要である。また、OEWGが強調した能力構築と信頼醸成は、日本がASEANやインド太平洋地域の国々と連携を深める際の基本方針となる。CRIが提示したサプライチェーンガイダンスやIoTセキュリティ強化策は、国内政策や企業対策にも応用できる。
結論
サイバーセキュリティはグローバルな問題であり、法制度・標準化・CSIRT連携の面で各国が主導的な施策を進めている。EUのNIS2指令とCRAは法規制と標準化の両面で国際的なベンチマークとなり、米国の国家戦略は責任分担と長期投資の方向性を示した。中国はデータ主権の概念を強化し、越境データ管理を厳格化している。国際的なイニシアティブではCRIがランサムウェア対策で協力を拡大し、OEWGが国際法と規範の普遍性を確認した。日本はこうした動向を踏まえて政策を策定し、国際標準化活動やCSIRT協力を通じて積極的に貢献していく必要がある。サイバー空間の安全と信頼を確保するには、国家・企業・個人の役割が明確化され、協力と規律が両立したガバナンスが不可欠である。
