2025年5月16日、日本の安全保障政策において重要な法案が成立しました!
サイバー攻撃を未然に防ぐ「能動的サイバー防御」を導入するための法律、正式名称「サイバー安全保障を確保するための能動的サイバー防御等に係る態勢の整備の推進に関する法律」(長い!)が、参議院本会議で可決・成立しました。
「能動的サイバー防御」については、以前少しblogでも触れました。
↓
「JNSA セキュリティのプロが選ぶ!2024セキュリティ十大ニュース」
https://plug-in01.com/topics/archives/288
また、1月のセキュリティニュースにも掲載しましたが・・・
改めて、「能動的サイバー防御」とは?
国が平時から通信のメタデータ(IPアドレスや送信先情報など)を収集・分析し、サイバー攻撃の兆候を探知・抑止するための仕組みです。
その実現に向けて、以下の3つの柱で制度化が進められました。
(1)官民連携の強化
・官民が双方向で機微な情報をやり取りできる制度設計。
・電力・交通などの重要インフラ事業者には、被害発生時の報告を義務化。
・安全保障上重要な情報を扱う場面では、「セキュリティクリアランス制度」の活用も想定。
(2)通信メタデータの利用
・攻撃を未然に防ぐため、一定の要件のもとで政府が民間の通信メタデータを取得・分析できる仕組みを導入。
・対象は通信の「内容」ではなく、送信先やIPアドレス、通信時刻などの外形情報に限定。
(3)無害化措置の検討
・必要に応じて、関係機関(警察や防衛省など)が攻撃元の発信源に技術的措置を講じる体制整備を進行中。
・現時点では、慎重に段階的な法整備が進められており、「反撃権」を明確に認めた法律ではない。
以前から他国(米国・英国・ドイツなど)ではこうした制度がすでに存在しており、国家が能動的にサイバー攻撃を防ぐ体制を持つのは当たり前となっていました。
一方で、日本は「通信の秘密」の原則を重視し、国家による介入に慎重な姿勢を取ってきましたが、近年のサイバー脅威の高まりを受け、必要不可欠との判断に至り、今回の法案成立に至ったというわけです。
ーーー
そして、(1)で出てくる「セキュリティクリアランス制度」も重要なポイントです!
能動的サイバー防御の制度整備とあわせて、「セキュリティクリアランス制度」を創設する法律も成立し、今後運用が本格的に始まります。
これは、政府が保有する機微な経済安保情報(インフラ・サプライチェーン・先端技術など)を、信頼できる民間企業や人材に限って提供する仕組みです。
既に米国や英国では当たり前に運用されている制度であり、日本では今回が初の本格的導入となります。
<制度のポイント>
★重要な経済安保情報が政府内で指定され、その情報を外部に提供する際には、受け手側(企業や従業員)が「信頼できる者」であることが求められます。
★情報を受け取るには、企業が「適合事業者」として認定される必要があります。
★そのうえで、実際に情報を取り扱う従業員個人に対して「適性評価(バックグラウンドチェック)」が行われます。評価項目には、身元、経歴、犯罪歴、反社会的勢力との関係、経済状況などが含まれます。評価を通過した人だけが、情報にアクセスできる仕組みです。
★万が一情報を漏えいさせた場合は、最大5年の拘禁刑または500万円以下の罰金という厳しい罰則も設けられています。
この制度が始まることで、日本の企業も海外の共同研究、防衛関連の仕事、政府プロジェクトなどに参加しやすくなります。
一方で、どのように情報を守るか、誰に任せるかといった社内体制づくりがこれまで以上に重要になります。
これからは、民間企業にとっても、「能動的サイバー防御」に協力できる体制を整えることや、セキュリティクリアランス人材を育てることが、企業の信頼や競争力につながっていくのでしょうね!
<サイバー対処能力強化法を分かりやすく説明したリーフレットが発行されています>
https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/leaflet.html
