グローバルでは欧米が先行

グローバルに目を向けると、能動的サイバー防御の取り組みでは欧米が先行している。

米国では、基幹インフラ事業者に対し、政府へのインシデント報告を義務付ける「重要インフラサイバーインシデント報告法」（CIRCIA）が2022年3月に成立。2023年3月には、基幹インフラ事業者に機密データを含む脅威情報の共有を求める「国家サイバーセキュリティ戦略」（National Cybersecurity Strategy）が策定された。

こうした法制度の下で、2023年5月には、米国の重要インフラが中国の脅威アクター「Volt Typhoon」によるサイバー攻撃を受けていたことが判明。米司法省は裁判所の許可を得て、Volt Typhoonが利用していたネットワーク機器からマルウェアを強制的に除去したと報じられている。

英国では、重大インシデントの発生から72時間以内に政府への報告を義務付ける「NIS規則」が2018年5月に、EUでは、域内で統一されたサイバーセキュリティ要件とインシデント報告義務を定めた「NIS2指令」が2023年1月に施行されている。

能動的サイバー防御の“3本柱”

国内に話を戻すと、国家安全保障戦略や昨年12月に閣議決定された「サイバーセキュリティ戦略」では、能動的サイバー防御の中核的な要素として、①官民連携の強化、②通信情報の利用、③アクセス・無害化措置の3本柱が盛り込まれた。

官民連携の強化では、エネルギーや通信、金融などの基幹インフラ事業者を対象に、「どの基幹インフラに、どの製品・サービスが導入されているか」を政府に共有する義務が課されると規定されている（図表2）。製品に脆弱性などが見つかった場合に、迅速かつ的確に注意喚起・対処要請を行える体制を整えることが狙いにある。なお、具体的にどの製品・サービスを対象とするかは、今後検討が進められていく見通しだ。

図表2　「官民連携の強化」のイメージ

また、重大インシデントが発生した際にも、政府への報告が義務付けられる。報告を怠った基幹インフラ事業者には、200万円以下の罰金が科されるとされている。これまで、サイバー攻撃への対応は民間企業が個別に担ってきたが、官民で情報を集約・共有する仕組みを整えることで、再発防止や影響の最小化を図りたい考えだ。

通信情報の利用については、政府が通信ログなどを取得・分析し、サイバー攻撃の兆候を把握するとともに、攻撃元サーバーの特定につなげることを目的としている。対象となるのは、日本を経由する外国間通信（外外通信）、外国から国内への通信（外内通信）、国内から外国への通信（内外通信）で、国内から国内への通信（内内通信）は対象外とされている（図表3）。

図表3　「通信情報の利用」の対象範囲

また、メール本文やIP電話の通話内容など、コミュニケーションの“本質的内容”は分析対象とせず、IPアドレスや送受信日時、通信量などの情報に限定する方針が示されている。

通信の秘密に配慮した形だが、どこまでが本質的内容に該当するのか、その線引きが難しく、政府による過剰な介入や権限行使を懸念する声もある。そこで政府は、2026年4月に「サイバー通信情報監理委員会」を設立する予定で、制度運用を第三者的な立場から監督・監視する役割が期待される。

アクセス・無害化措置では、重大なサイバー攻撃が発生した場合に、攻撃に使用されているサーバーなどにアクセスし、機能停止やマルウェアの除去といった措置を講じることが可能となる。原則は警察が対応し、警察の要請など一定の要件を満たす場合には、自衛隊と共同で対処すると規定されている（図表4）。

図表4　「通信情報の利用」と「アクセス・無害化措置」のイメージ

ただ、誤った情報や不十分な判断に基づいて、海外に所在するサーバーに対して無害化措置を講じた場合、国際的な摩擦を招くおそれもある。横平氏は、こうしたリスクを踏まえ、サイバー通信情報監理委員会による厳格な監視体制の下で、透明性と慎重さを確保した運用が不可欠になる指摘する。