免責事項
NCDは「能動的サイバー防御(Active Cyber Defence)」を、英国国家サイバーセキュリティセンター(NCSC)の定義に基づき、「大量発生型サイバー攻撃を軽減するための役務」として定義しています。
能動的サイバー防御(ACD)関連法案は、日本企業、特に重要インフラ分野の企業におけるサイバーセキュリティの取り組みに根本的な変革をもたらすものです。この法案がもたらす新たな機会と課題について、企業がACD関連法案を実施する際に考慮すべきポイントを、市田氏が解説します。
日本の能動的サイバー防御(ACD)とは?
ACD関連法案は、サイバー攻撃の未然防止を目的とし、官民間で脅威インテリジェンス情報の共有体制を構築するものです。この法案 は2025年に国会への提出が予定されており、日本の重要インフラやデジタル経済を守るための画期的な取り組みとなることが期待されています。
政府提案の枠組み
- 特定対象の外国通信監視:政府が法的な枠組みに基づき、疑わしいを監視することで、潜在的なサイバー脅威の兆候を早期に察知します。
- 重要インフラによる報告義務化:水道、電力などの重要インフラ事業者に対し、サイバーインシデントを政府に報告することを義務付けます。
- セキュリティ・クリアランス制度の活用:機密情報へのアクセスにはセキュリティ・クリアランスを活用し、権限を持つ者のみがアクセスできる体制を整備することで、適切な情報共有を実現します。
- 先行するサイバー民主国家からの学習: アメリカのサイバーセキュリティ・社会基盤安全保障庁(CISA)や同庁が主導する共同サイバー防衛連携(JCDC)など、世界的なベストプラクティスを参考に、日本版の効果的なモデル構築を目指します。
市田氏の洞察:企業への提言
1. 膨らむ責任に対する明確な指針
ACD関連法案による連携協議会の設立や重要インフラ事業者への報告義務化が進展することが予想されますが、企業はこれらの新たな要件を正確に理解し、積極的に対応する必要があります。
実用的対策
- サイバー脅威監視システムを強化し、官と双方向でリアルタイムな脅威情報の授受を通して、迅速に反映できる体制を導入する。
- インシデント報告のプロトコルを確立し、スムーズな移行を実現する。
- 特に重要インフラ事業者にとっては報告が必須となるため、報告フレームワークを早期に導入する。
2. 外国通信監視の課題
ACD関連法案における「外国関連の通信情報」という前提は、実際の運用において情報の選別に困難を伴います。「外国」という用語の定義が、攻撃主体を指すのか通信を指すのかあるいは両方なのかが判然としません。従って、日本の上陸地点で通信を監視することを意図しているのであれば、国内に所在する外国主体による攻撃を網羅できない可能性があります。これは、特に国際的に事業を展開する企業にとって大きな影響を及ぼす問題です。
実用的対策
- 業務効率を維持しつつ、政府やISPと密に連携をすることで監視要件を満たす。
- AIを活用した脅威検知技術等を利用することで、ネットワークセキュリティの強化を図るほか、SIEM、MFA等のゼロトラストにつながるソリューションを導入したシステム環境を推進し、自社ネットワークの安全性を向上させる。
3. サイバーセキュリティ対策と法的・憲法的保護の整合性
ACD関連法案は、憲法第21条で保障される通信の秘密との整合性が問われます。企業は、政府の新たな解釈、あるいは法令規則を遵守する一方で、顧客やステークホルダーのデータ保護にも細心の注意を払う必要があります。
実用的対策
- 企業は、国会におけるACD関連法案成立後の政府解釈、あるいは追加的な規則に基づいて、社内のデータ管理およびプライバシーポリシーを見直し、社内規定の修正と、新法に付随して生じる可能性のある訴訟等も視野に入れた法律相談に関する体制を整える必要がある。
- 顧客情報保護において透明性を確保し、信頼を維持する。
4. 組織と人材の能力強化
政府がACDを効果的に実施するために、企業においてもACDに通暁した人材と迅速な対応ができる強固な組織が必要です。特に重要インフラ分野の企業では、政府からの早期警戒情報をもとにリスクを迅速に低減する体制を整えることが求められます。
実用的対策
- サイバーセキュリティ専門家の育成や専任チームを設置する。
- 外部の専門企業等を活用して、迅速かつ的確な対処体制を補完する必要がある。
5. 先行するサイバー民主国家からの学びを活用
米国のCISAやJCDCなどが行なっている国際的なベストプラクティスから学ぶことで、より効果的な対応が可能になります。すでにグローバルな取り組みを行っている企業は、適応を目指す他の企業にとって、貴重な洞察を提供しています。
実用的対策
- 既に確立されたACDによる対処の態勢を持つ国々のベストプラクティスを学び、潜在的な課題を予測する。
- 国際的または国内の脅威情報共有会議に参加し、ACDに基づく早期警戒情報により、サイバー攻撃の未然防止の可能性を拡げる。
6. イノベーションとコラボレーションの機会
官民セクター間の連携が必須となり、特にISPやその他の組織が重要な役割を果たします。企業にとっては課題であると同時に新たな機会でもあります。
実用的対策
- 官民連携に積極的に参加し、脅威インテリジェンスを共有するとともに、自社のセキュリティ能力を強化する。
サイバーセキュリティプロバイダー等の企業は、政府の監視および対応ニーズに適合する革新的なソリューションを提供する機会を活用する。
今後の展望
日本におけるACDへの積極的な取り組みは、大きな前進である一方、いまだ課題が残されています。またACD関連法案の施行においては、通信の秘密の保護に関して、政府解釈、あるいは法改正に関する整理が進展していると推測されます。その結果として、所管する官庁の行為が正当な業務であることが大前提であり、その上で、官側のサイバー防衛体制の変革、官民連携のさらなる強化そして企業における対応能力の向上が求められています。
市田氏はこれらの課題の複雑性を指摘し、基盤が整備されつつある中で、絶えず進化するサイバー脅威に対応するには、企業側も柔軟に適応し、引き続き用心深く対策を講じる必要があると述べています。
今後数年は、日本にとって重要な時期となります。これらの課題を克服し、デジタル社会の未来を守るために、引き続き官民一体での努力が不可欠です。
サイバー成熟度評価
日本サイバーディフェンス(NCD)では、組織のサイバーセキュリティ能力を包括的に診断する「サイバー成熟度評価サービス」を提供しています。このサービスは、現状の課題や強みを明確化し、組織が直面するリスクに対して最適な対策を講じるための土台を築くものです。さらに、全体的なセキュリティ態勢を強化するための戦略的なロードマップをご提案し、実効性のある改善計画をサポートします。
サイバーセキュリティフレームワーク(NIST)
国立標準技術研究所
サイバー評価フレームワーク(CAF)
国家サイバーセキュリティセンター
NCDのサービスに関する詳細: サイバーセキュリティコンサルタント、保護サービス、ネットワーク監視とセキュリティ運用、SIEM、インシデント管理
