Japan
サイト内の現在位置
能動的防御時代の幕開け
新法制が求める官民連携に企業はどう向き合うか

国家や重要インフラに対するサイバー攻撃のリスクが深刻化している。日本は「サイバー対処能力強化法」を成立させ、受け身になるのではなく「能動的」へと防御のアプローチを転換しようとしている。その柱の1つが「官民連携」である。企業には、どのような影響があり、どのような対応が求められるのか。Forbes JAPAN 執行役員 Web編集長の谷本 有香氏が、森・濱田松本法律事務所の蔦 大輔弁護士と、NEC サイバーセキュリティ戦略統括部長の奥 隆行に話を聞いた。
攻撃者の先手を取る。これからのセキュリティの考え方
谷本 2025年5月に「サイバー対処能力強化法及び同整備法」が成立しました。この新しいサイバーセキュリティ法制は、どのようなものでしょうか。
蔦 2022年に成立した「経済安全保障推進法」、2024年に成立した「重要経済安保情報保護活用法」、いわゆるセキュリティ・クリアランス法など、日本のサイバーセキュリティ法制は、特に近年では、主に経済安全保障の観点から変化しています。新しい法制であるサイバー対処能力強化法及び同整備法は「能動的サイバー防御」を実現するためのものです。

執行役員 Web編集長
谷本 有香氏
証券会社、Bloomberg TVで金融経済アンカー後、米MBA取得。日経CNBCキャスター、同社初女性コメンテーター。2016年2月よりForbes JAPANに参画。2022年1月1日より現職。
谷本 「能動的」とは、どういうことでしょうか。
蔦 受け身でなくさまざまな取り組みを行うことで、重大なサイバー攻撃を未然に排除し、被害拡大を防止する防御の考え方です。サイバー対処能力強化法では、以下の4つが軸となっています。
- (1)官民連携/政府機関と民間事業者の情報共有を強化し、事案の未然防止、対処支援の強化を図る。
- (2)通信情報の利用/攻撃サーバなどを検知して事前に脅威を察知するため、被害が出る前にまたは拡大する前に手を打つために、インターネット通信情報の一部を明確な法的根拠に基づいて利用する。
- (3)アクセス・無害化/確認された攻撃サーバなどに対し、必要に応じてアクセスし、攻撃のためのプログラムなどを確認の上、無害化する。
- (4)組織・体制整備/内閣サイバーセキュリティセンター(NISC)を改組し、「国家サイバー統括室(NCO)」を設置する(※2025年7月1日実施済み)。

蔦 大輔氏
弁護士。東京弁護士会所属。サイバーセキュリティ、個人情報保護、電気通信関係の法務を主要な取扱分野とし、内閣官房内閣サイバーセキュリティセンター(NISC)に任期付職員として勤務した経験を持つ。
谷本 官民連携が柱になるということは、企業も関与するということですね。
蔦 連携の中でも代表的なものは、届出と報告です。まず経済安全保障推進法に基づき個別に指定された基幹インフラ事業者には「特定重要電子計算機」の届出義務が課されます。特定重要電子計算機とは、サイバーセキュリティが害された場合に、制御システムなどの重要設備の機能停止や低下を引き起こす恐れがある電子計算機(ハードウェアと組み込みプログラムを含む)を指します。現時点で詳細は不明ですが、国会答弁では、具体例としてVPN機器や認証サーバなどが挙げられています。
また、特定重要電子計算機を使用する基幹インフラ事業者には「インシデント報告義務」が発生します。不正アクセスなどの「特定侵害事象」または、「その原因となり得る主務省令で定められる事象」を認知したときは、それを報告しなければなりません。
報告となる対象や範囲、報告手続、報告事項の詳細は、今後、定められることになっていますが、公開資料や国会答弁、既存制度を手掛かりに考えると、特定侵害事象は、不正アクセスやマルウェア感染、DDoS攻撃などが対象。その原因となり得る主務省令で定められる事象は、管理者のID・パスワード窃取、マルウェア実行の痕跡発見など、いわゆるヒヤリハット的なものも含まれると考えられます。
経営者が計画策定を主導する必要がある
谷本 基幹インフラ事業者ではない企業は、意識する必要はないのでしょうか。
蔦 直接の義務が発生するのは基幹インフラ事業者ですが、特定重要電子計算機を提供するベンダーや、基幹インフラ事業者と契約関係にあるサプライチェーン企業も影響を受けるでしょう。
例えば、基幹インフラ事業者との契約に、サイバー攻撃発生時の協力が含まれている場合は、当然、契約に応じて義務が生じます。また、法律上、政府が基幹インフラ事業者の利用する特定の機器やプログラムの脆弱性を認知した場合、その提供ベンダーに情報提供を求め、必要な措置を講じるよう要請することができます。また、政府はベンダーに対して必要な報告や資料提出を求めることもでき、求めを受けたベンダーは、必要な報告や資料提出に努めなければなりません。
ただ、この要請への対応は、あくまでも「努力義務」です。要請に応じられなくても法律上のペナルティはありません。とはいえ、要請に対応しなかったという事実が信用(レピュテーション)リスクに発展する可能性は十分にあります。その点は認識が必要です。
谷本 サプライチェーン企業も意識が必要となると、多くの企業に関係が深い法制となりそうです。
奥 サイバー対処能力強化法及び同整備法は、日本がサイバーセキュリティ戦略をアクティブな方向に舵を切ったことを示しています。特にインシデント報告の義務化は、大きな変化です。海外で発生したインシデントやサプライチェーン先で発生したインシデントも報告対象となる可能性がありますから、対応するには準備が必要です。企業は、どこで何が起こっているのかを速やかに把握し、報告できる体制を整えなければなりません。

サイバーセキュリティ戦略統括部長
NECセキュリティ
取締役執行役員常務
奥 隆行
警察においてサイバー犯罪捜査を20年以上経験。インターポールなど海外法執行機関や国際機関との共同オペレーションなどに多数参画。2025年4月より現職。
谷本 そのために経営者は、どのようにリーダーシップを発揮すべきでしょうか。
奥 新法制への対応に限った話ではありませんが、まずサイバー攻撃による被害が実際に起こるという前提で考えることがなにより重要です。システムメンテナンスを委託していた企業のアカウントが悪用されたというような被害は、ニュースの中だけでなく、実際に起こっていることなのです。
蔦 例えば、サイバー攻撃を受け、個人情報漏えいなどが起こると被害者への賠償責任が発生します。それは会社にとっての損害となりますが、その損害について経営者が会社や株主から損害賠償請求を受ける可能性もあります。経営者にとって、サイバー攻撃のリスクは決して他人事ではありませんね。
奥 その上で経営者は、自社の重要な資産が何であるか、その資産の価値を損なう可能性のあるリスクは何か、さらにそのリスクが顕在化した場合にどのように対処するのかを明確にし、一連の流れを「プレイブック(対応計画)」として策定しなければなりません。
その際には、NIST CSF 2.0のほか、海外のリスクマネジメントフレームワークなどを参照しつつ、例えば社内ワークショップなどを通じて経営者自身が関与し、現場部門から収集したリスク情報を自ら評価することが重要です。単なる形式的な承認ではなく、経営者が自ら意思決定し、納得感を持って対応計画に落とし込むことで、いざというときの迅速な判断と実効性ある行動につながります。
とはいえ、セキュリティの話は技術的な側面も多く、経営者には理解が難しいものも多いです。そこで、NECは経営者が現場との認識のギャップを埋めるために、システムやセキュリティの状況、リスクの大きさを把握するためのツールやマネジメント層への支援を提供しています。例えば、自社への脅威の高まりや変化を「天気予報」のように提供するインテリジェンスや、複雑なシステムおよびセキュリティの状況を一元管理するマネジメントツール、収集した多様なデータをわかりやすく表示するデータ可視化環境などです。これらを通じて、経営者の適切な投資判断や、経営者主導によるプレイブックの策定を支援します。

「.JPを守る」というスローガンに込めたNECの思い
谷本 NISCや警視庁など、お二人は官と民、両方で豊富な経験を持っています。これから日本が官民連携を成功させ、能動的サイバー防御を実現する上で、何が重要だと考えられますか。
蔦 民間企業にもメリットが必要ではないでしょうか。義務を課すだけでは、スムーズな連携は難しいでしょう。インシデントを報告した企業に対して、フィードバックや救済措置がある方が、官民連携の強化、ひいては日本全体のサイバーセキュリティの底上げにつながると考えます。
奥 官といってもさまざまな国家機関がありますが、法執行機関と企業の連携は特に重要です。海外では、企業が持つデータや脅威インテリジェンスと、法執行機関の権限・国際的ネットワークを組み合わせ、成果を上げている事例が数多くあります。一方、日本では、官と民の人材交流が限定的で、知識や経験が十分に共有されているとはいえません。例えば、海外では、期間を区切って官民の人材が同じチームに入り、インシデント対応を共に行う「混成チーム」の仕組みが一般的に用いられています。日本でもこうした仕組みを導入し、人材の行き来や共同演習を積極的に進めていくことが、官民連携の深化に不可欠だと考えます。
谷本 NECは「.JP(日本のサイバー空間)を守る」を、サイバーセキュリティのスローガンに掲げていますね。非常に印象的な言葉です。
奥 NECの「.JPを守る」というスローガンは、NECだけで完結できるものではありません。日本のサイバー空間を守るには、官と民、そして利用者を含む社会全体の協力が必要です。この言葉に込めた思いを、多くの方々と共有し、一緒に行動していきたいと考えています。
谷本 サイバーセキュリティは、社会全体の課題です。官と民が力を合わせ、能動的に未来を守る姿勢こそが問われています。企業も個人も、日本のサイバー空間を守る一員として行動することが求められる時代になったのですね。
