株式会社ジンテック

Jライブラリー

日本のサイバー安全保障戦略の変化と企業への影響(第5回)

名和利男 コラム

1. はじめに

近年、サイバー攻撃の脅威が急速に高まっています。これに対応するため、日本政府は「能動的サイバー防御」という新しい戦略へのシフトを検討しています。2024年7月に報道されたものだけでも、次のような論点が明らかになっています。

  • 能動的サイバー防御の導入
    政府は「能動的サイバー防御」導入法案の早期策定方針を明記しました。この防御は重要インフラに限定し、事業者の事前同意を得ることを検討しています。また、能動的サイバー防御の運用の際には第三者機関の設置も考慮されます。
  • 国外からの通信監視
    監視対象を「国外からの通信」に限定する方針が示されました。重要インフラに対して国外からの通信の監視を行うことを意味しています。
  • 経済団体の意見ヒアリング
    政府は「サイバー安全保障分野での対応能力の向上に向けた有識者会議[1]」で経済団体の意見をヒアリングしました。今後、経済界からのフィードバックを踏まえた法案策定が進められます。
  • 自衛隊の新任務
    自衛隊に平時の新任務の検討が始まりました。重大なサイバー攻撃の防止であり、攻撃元サーバーへの侵入や無害化措置の権限が付与される見通しです。
  • 新法の検討
    政府は能動的サイバー防衛のための新法を検討しています。特に、「通信の秘密」の制限が議論されています。
  • 米国との情報共有
    政府が取得した通信情報を米国と共有する方針が示されました。能動的サイバー防御の一環として、国際的な連携を強化することを目的としたものです。

このような変化は、特に重要インフラや基幹インフラを担う企業に大きな影響を与える可能性がありますが、十分な考察が見当たりません。そこで、本コラムで、日本の新戦略のモデルとなった米国と英国の「アクティブサイバーディフェンス(ACD)」戦略を振り返り、日本企業にどのような影響が考えられるのか、そして今後のどのような対応をしなければならないのかについて考えます。

2. 米国と英国のACD戦略の歩み

2.1. 米国の場合

  • 2010年頃:学術界や軍事戦略の分野でACDの議論が始まる
  • 2011年:国防総省の公文書でACDが正式に使用される
  • 2012年:議会でACDの法的・倫理的課題について議論が活発化
  • 2015年:「サイバーセキュリティ情報共有法」でACDの基盤強化策が示される
  • 2020年以降:国土安全保障省など他の政府機関でもACDの概念が採用され、民間との協力が強化

2.2. 英国の場合

  • 2011年:サイバーセキュリティ戦略にACDの要素が含まれる(明確な概念としては示されず)
  • 2016年:新サイバーセキュリティ戦略でACDプログラムの概念が初めて明確に提示される
  • 2017年:国家サイバーセキュリティセンター(NCSC)が公共分野向けACDプログラムを立ち上げ
  • 2019年:NCSCが民間分野へのACD拡大方針を発表
  • 以降毎年:NCSCがACD報告書を公表し、プログラムの効果と新たな取り組みを紹介

3. ACDがもたらした変化(特に、米国と英国の企業への影響)

アクティブサイバーディフェンス(ACD)戦略の導入は、企業のサイバーセキュリティ体制に大きな変革をもたらしました。まず、官民連携の強化により、企業と政府機関との協力関係が密接化。これにより、サイバー脅威に関する最新情報の迅速な共有と対策立案が可能となりました。

同時に、企業の法的責任も変化。サイバーセキュリティ対策の法的要件の厳格化や、インシデント発生時の報告義務強化により、企業はより高度なセキュリティ体制の構築を迫られています。

こうした変化への対応として、企業の技術投資も加速。高度な脅威インテリジェンス能力の構築や、リアルタイムでの監視・対応システムの導入が進んでいます。さらに、リスク管理のあり方も進化し、サイバーリスクの評価・管理手法の高度化が進行。これに伴い、経営層のサイバーセキュリティへの関与も深まっています。

加えて、企業単独のセキュリティ対策にとどまらず、サプライチェーン全体のセキュリティ強化が重要課題に。取引先や協力企業を含めた包括的なセキュリティ対策の必要性が高まり、企業間連携の重要性が一層増しています。

4. 日本企業が取るべき対応

米国と英国の企業の経験を踏まえると、日本企業が、近い将来に法令化される「能動的サイバー防御」の戦略に適応するには、次のような対応が求められていくことになると考えます。

  • 政府機関との協力体制構築
    情報共有窓口の整備と、組織内各部門からの迅速かつ適切な情報集約システムの確立。これにより、サイバー脅威の最新情報を常時把握し、迅速な対応を実現。
  • 法的要件への準備
    コンプライアンス体制の見直しとインシデント報告プロセスの確立。規制厳格化への備えを強化。
  • 最新セキュリティ技術への投資
    AI・機械学習を活用したソリューションの導入検討など、最先端防御技術の積極的採用。
  • サプライチェーン全体のセキュリティ強化
    取引先選定基準の見直しや定期的セキュリティ監査の実施。企業の枠を超えた包括的セキュリティ対策の推進。
  • 人材育成と組織文化の醸成
    サイバーセキュリティ専門家の育成・確保と、全従業員のセキュリティ意識向上。組織全体でのセキュリティ重視文化の構築。

これらの対応を総合的に推進することで、日本企業は新たなサイバーセキュリティ環境に適応し、より強固な防御体制を確立できるでしょう。

5. おわりに

「能動的サイバー防御」への移行は、単なる規制対応ではなく、企業価値向上と持続可能な成長のための戦略的投資として捉えるべきです。この変革には時間と資源が必要となるため、早期から段階的に準備を進めることが重要です。

[1] https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/index.html

※本内容の引用・転載を禁止します。

Cookie の使用について
当ウェブサイトでは、お客様の利便性向上や、サイト改善のためにCookieを使用しています。
詳細についてはCookieポリシーをご覧ください。

pagetop