重大なサイバー攻撃を未然に防ぐ「能動的サイバー防御」導入法が成立した。
政府は2027年中に全面的な運用をスタートする方針だ。効果的な運用のできる体制を整備しなければならない。
攻撃元のサーバー無害化
能動的サイバー防御は、国内・国外間、日本経由の国外間の通信を平時から取得し分析。攻撃の兆候があれば関与するサーバーに警察と自衛隊が侵入し、攻撃プログラム除去など無害化措置を取るものだ。
導入は「欧米主要国と同等以上」の能力を目指し、22年策定の国家安全保障戦略に明記された。政府機関や重要インフラへのサイバー攻撃の脅威が高まっていることが背景にある。
日本の防衛戦略は、外国から武力攻撃を受けた時に初めて防衛力を行使する「専守防衛」が基本だ。だがサイバー攻撃の手法は巧妙化しており、専守防衛では限界がある。
被害を防ぎ、日本の安全を守るには能動的サイバー防御が欠かせない。侵入・無害化措置は他国の主権侵害につながりかねないが、政府は、重大で差し迫った危険から不可欠の利益を守る唯一の手段で、相手国の利益を深刻に侵害しないなどの条件がそろえば、国際法上許容されるとの立場だ。
導入法では、サイバー攻撃の標的とされやすい電気や航空、放送、金融など15業種の「基幹インフラ」事業者に対し、生じた被害や、攻撃の前兆の可能性がある事象について報告を義務化した。電子機器の製品名やネットワーク構成の届け出も定め、怠れば最大200万円の罰金を科す。
被害を受けた事業者は、株価の下落など企業価値の低下を懸念し、被害報告に消極的になりやすい。しかし23年7月には名古屋港のコンテナ管理システムが機能停止し、昨年末には日本航空や三菱UFJ銀行もシステム障害に見舞われるなど、基幹インフラへのサイバー攻撃は増えている。被害報告の義務化は、情報を他の事業者と共有し、被害の防止や抑制につなげるために必要だ。
また導入法では、憲法が保障する「通信の秘密」の制約を最小限にとどめるため、IPアドレスや攻撃コマンドなど「機械的情報」を選別して分析。メール本文など「意思疎通の本質的内容」は削除する。国内間の通信は取得・分析の対象外としている。内閣府の外局として独立機関「サイバー通信情報監理委員会」を設置し、運用を監督する体制も整えた。
通信情報の取得・分析システムは、27年中の完成を目指す。海底ケーブルの陸揚げ拠点付近などに設備を設けるという。また、導入法の付則には3年後の見直し規定も盛り込まれた。デジタル技術が今後も進歩することを想定したものだ。サイバー防御を強化するには不断の見直しが求められよう。
実効性向上へ人材育成を
能動的サイバー防御の実効性を向上させるには、官民の連携強化が欠かせない。
そのためには、政府側はもちろん、企業側も安全保障やサイバーセキュリティーなどに詳しい人材を育成すべきだ。
