ポイント
- サイバー攻撃の脅威が高まる中、日本政府は従来の守り中心の姿勢から、攻撃者への対処を含む「能動的サイバー防御」へと政策転換を図った。これにより、政府と民間企業との関係性にも変化が生じつつある。
- サイバー分野における官民連携のあり方の変化は、その目的自体が変化した結果とも言える。従来の目的は、官民協働によるレジリエンス向上や情報共有に主眼が置かれていたが、近年は能動的サイバー防御によるサイバーセキュリティ確保、さらには国家安全保障の確保へと変化した。
- 政府にとっての課題は、収集情報を統合・分析したインテリジェンスの創出、適切なタイミングでの民間への情報提供、インシデント報告の範囲の明確化と負担軽減、そして企業の報告インセンティブの適切な設計である。一方、民間企業にとっては、自社システムの実態把握、委託先を含む関係者との連携強化、インシデント報告体制の整備などが課題となる。
サイバー防御をめぐる官民の役割変化
日本政府は、2022年の国家安全保障戦略で、サイバー空間における脅威への対処方針を変更した。それまでの方針は、サイバー攻撃の被害者側のリスク低減を主眼に置いた脆弱性対策を中心に据えていたが、新たな方針では、攻撃者の利用するコンピュータの無害化など、攻撃側への対処へと変更した。
この変更に伴い、政府にとっての官民連携の目的は、能動的サイバー防御によるサイバーセキュリティの確保、さらには国家安全保障の確保へと変化した。これにより政府には、レジリエンス向上のための情報共有を推進する役割から、情報をとりまとめ、脅威に対処する結節点(ハブ)としての役割がいっそう求められるようになった。
情報共有についてみれば、政府は民間の自主的な取り組みを推進する立場から、政府が主導して情報の集約・分析・提供を行う立場に転換した。2025年に国家サイバー統括室が公開したサイバーセキュリティ戦略案では、官民の情報共有を従来よりも双方向かつ能動的なものとし、民間が政府からの情報を活用し、自社のサイバーセキュリティ対策を講じることができるようになる方針が掲げられている。効果的な情報提供の実現に向けて、政府は民間のインシデント情報やコンピュータの状況を把握しつつ、外国機関から提供される情報などと統合し、分析することになる。
こうした戦略や政策変更の背景には、攻撃の高度化に加え、被害を最小化するために必要となるコストの大きさや、その対処の網羅性に限界があることが挙げられる。これまで防御側は、攻撃の洗練化に対応するため、セキュリティ製品の導入、規則の整備、教育、民間組織によるソフトウェア更新の呼びかけ、注意喚起、組織間での情報共有など、複数の手段を組み合わせて対処の多様化を図ってきた。
しかし、防御側が全方位の守りを固めるには莫大なコストが伴い、網羅的かつ完璧な対策を講じることは現実的に難しい。これらの限界の一因は、組織内のコンピュータの保護を、システム管理者の自主性に委ねている点にある。政府や専門組織が民間組織や個人に呼びかけている対策の中には、ソフトウェアの最新版への更新のように、追加の費用が不要で、手順も比較的簡単なものも含まれている。しかし、サイバー攻撃に関する通知を受け取った民間企業が機器の利用状況を把握していなかったり、サポート期限を過ぎた機器を使い続けていたり、必要なセキュリティ対策を講じていなかったりする状況が後を絶たない。
このような状況が続けば、攻撃者にとって格好の標的となる脆弱なコンピュータが放置され、国内の基幹インフラなどへの攻撃に利用されるリスクが高まるだけでなく、悪用されたコンピュータが第三国への攻撃の踏み台として利用される可能性もある。こうしたリスクに対応するため、政府が主導して重要電子計算機やインシデントに関する情報を集約・分析し、民間企業に対して積極的な情報提供を行うとともに、アクセス制御や無害化措置を通じて脅威に対処する方針へと転換したのである。
政府にとっての課題
政府にとっての課題は、収集した情報を統合したインテリジェンスの創出、適切なタイミングでの民間への情報提供、被害企業が報告すべきインシデントの範囲の明確化、そして民間の負担軽減である。
今後、政府は「サイバー対処能力強化法」に基づき、基幹インフラ事業者からの機器の届出やインシデント報告、通信情報の利用を通じて、サイバー攻撃に関する情報を得る予定である。また、防衛省や警察庁などが独自に収集する情報、外国機関から提供される情報なども活用し、これらを総合的に分析するとしている。
このとき課題となるのが、政府が統合したインテリジェンスを、民間が実効的に活用できるタイミングで提供できるかどうかである。従来の一部の情報共有では、情報量が少ないうえ、攻撃終了後に情報が共有されるケースもあり、有効でないものもあった。新たな制度では、重要電子計算機の届出制度を通じた情報提供対象への適切な通知や、セキュリティ・クリアランス制度を活用した秘匿性の高い情報提供が可能になるが、これらは政府にとって未知の運用であり、民間企業への情報提供のタイミングや実施プロセスは今後の課題となるだろう。
また、インシデント報告に関する民間の負担軽減も重要である。政府はすでに、ランサムウェアやDDoS攻撃による被害発生時のインシデント報告様式の統一を行ったが、今後は報告対象となるインシデントの範囲をどこまで明確化できるかが課題となるだろう。
さらに政府は、インシデントを報告することへの民間企業の懸念――サイバー攻撃されたと報告をすると、行政処分の対象になるのではとの懸念――を払拭する必要もある。積極的に報告した民間企業が不利益を被らないよう、政府は適切なインセンティブ設計のあり方を検討する必要がある。
民間企業にとっての課題
一方、民間企業にとっての課題は、委託運用体制を含むシステムの実態把握、外部連携、そして迅速なインシデント報告体制の構築にある。
サイバー対処能力強化法では、特定社会基盤事業者に対して、利用する機器やサービスの届出を求めている。政府は、届出対象としてVPNやファイアウォール、認証サーバ、クラウドサービスを例示し、事業者が利用する製品名、製造者、ネットワーク構成などを含めて所管大臣へ届け出る仕組みを検討している。この届出に対応するには、委託運用体制を含む自社システムの理解が欠かせない。
さらに、幹部社員を含む職員が、システム構成や運用実態、外部委託の範囲と管理体制、外部機関との連携状況、さらにはこれらに対するサイバー脅威への認識を共有する必要がある。特に、基幹システムのセキュリティ対策や堅牢化を外部ベンダーに委託している場合、委託先のシステムの状況を正確に把握することが出発点となる。
民間企業にとってはシステム運用を委託する企業との連携体制も課題となる。過去のインシデントの中には、外部委託先のシステムアップデート未実施が原因となった事例もある。したがって、政府や専門機関から提供される情報を的確に解釈し、委託先のシステムの状況を把握するなど、関係者との連携強化も欠かせない。
インシデント報告体制の整備も重要である。報告義務の導入によって、従来曖昧であった報告基準が明確化され、政府による情報集約と分析の体制が強化される。今後は、業務に直接影響が出ていなくても報告対象となるため、一部の基幹インフラ事業者やその委託先には、サイバー攻撃の検知・報告・対処のための新たな体制整備が必要になる。
他国における官民連携、とくにインシデント報告の課題
こうした官民連携の課題は日本に限ったものではない。たとえば米国では、2022年に成立した「重要インフラに関するサイバーインシデント報告法:CIRCIA」において、指定事業者に対し、インシデント発生時の報告義務や、身代金支払いに関する報告義務が定められている。もっとも、政府内の決定や関係機関との調整が難航しており、同法の最終規則案の発表は、当初予定されていた2025年10月から2026年5月へと延期された。
この規則案には300のコメントが寄せられており、適用範囲や報告負担の軽減、CIRCIAと他の報告要件との整合性向上、そして情報の透明性確保などが課題として指摘された。米議会下院国土安全保障委員会では、産業界の関係者が「インシデントの定義が広範すぎる」「民間企業の報告負担が重い」「産業界との協議が不足している」「情報保護や免責が不十分で民間企業が萎縮してしまう」といった懸念を表明している。
オーストラリアでは、「2018年重要インフラセキュリティ法(SOCI法)」に基づき、重要インフラ事業者は、業務を外部委託する場合であっても、自社と同等の堅牢なサイバーセキュリティ水準を維持することが求められている。英国でも、重要サービスの保護・確保を目的とした新たな法律が検討されており、重大なサイバー攻撃による被害が発生した際には、ITサービス提供事業者に対して、政府や顧客への迅速な報告と対処計画の策定が義務付けられる見通しである。
(c)首相官邸ホームページ―総理の一日「国家サイバー統括室発足式」
