国家や重要インフラに対するサイバー攻撃のリスクが深刻化している。日本は「サイバー対処能力強化法」を成立させ、受け身になるのではなく「能動的」へと防御のアプローチを転換しようとしている。その柱の1つが「官民連携」である。企業には、どのような影響があり、どのような対応が求められるのか。Forbes JAPAN 執行役員 Web編集長の谷本 有香氏が、森・濱田松本法律事務所の蔦 大輔弁護士と、NEC サイバーセキュリティ戦略統括部長の奥 隆行に話を聞いた。

攻撃者の先手を取る。これからのセキュリティの考え方

谷本　2025年5月に「サイバー対処能力強化法及び同整備法」が成立しました。この新しいサイバーセキュリティ法制は、どのようなものでしょうか。

蔦　2022年に成立した「経済安全保障推進法」、2024年に成立した「重要経済安保情報保護活用法」、いわゆるセキュリティ・クリアランス法など、日本のサイバーセキュリティ法制は、特に近年では、主に経済安全保障の観点から変化しています。新しい法制であるサイバー対処能力強化法及び同整備法は「能動的サイバー防御」を実現するためのものです。

谷本　「能動的」とは、どういうことでしょうか。

蔦　受け身でなくさまざまな取り組みを行うことで、重大なサイバー攻撃を未然に排除し、被害拡大を防止する防御の考え方です。サイバー対処能力強化法では、以下の4つが軸となっています。

谷本　官民連携が柱になるということは、企業も関与するということですね。

蔦　連携の中でも代表的なものは、届出と報告です。まず経済安全保障推進法に基づき個別に指定された基幹インフラ事業者には「特定重要電子計算機」の届出義務が課されます。特定重要電子計算機とは、サイバーセキュリティが害された場合に、制御システムなどの重要設備の機能停止や低下を引き起こす恐れがある電子計算機（ハードウェアと組み込みプログラムを含む）を指します。現時点で詳細は不明ですが、国会答弁では、具体例としてVPN機器や認証サーバなどが挙げられています。

また、特定重要電子計算機を使用する基幹インフラ事業者には「インシデント報告義務」が発生します。不正アクセスなどの「特定侵害事象」または、「その原因となり得る主務省令で定められる事象」を認知したときは、それを報告しなければなりません。

報告となる対象や範囲、報告手続、報告事項の詳細は、今後、定められることになっていますが、公開資料や国会答弁、既存制度を手掛かりに考えると、特定侵害事象は、不正アクセスやマルウェア感染、DDoS攻撃などが対象。その原因となり得る主務省令で定められる事象は、管理者のID・パスワード窃取、マルウェア実行の痕跡発見など、いわゆるヒヤリハット的なものも含まれると考えられます。

経営者が計画策定を主導する必要がある

谷本　基幹インフラ事業者ではない企業は、意識する必要はないのでしょうか。

蔦　直接の義務が発生するのは基幹インフラ事業者ですが、特定重要電子計算機を提供するベンダーや、基幹インフラ事業者と契約関係にあるサプライチェーン企業も影響を受けるでしょう。

例えば、基幹インフラ事業者との契約に、サイバー攻撃発生時の協力が含まれている場合は、当然、契約に応じて義務が生じます。また、法律上、政府が基幹インフラ事業者の利用する特定の機器やプログラムの脆弱性を認知した場合、その提供ベンダーに情報提供を求め、必要な措置を講じるよう要請することができます。また、政府はベンダーに対して必要な報告や資料提出を求めることもでき、求めを受けたベンダーは、必要な報告や資料提出に努めなければなりません。

ただ、この要請への対応は、あくまでも「努力義務」です。要請に応じられなくても法律上のペナルティはありません。とはいえ、要請に対応しなかったという事実が信用（レピュテーション）リスクに発展する可能性は十分にあります。その点は認識が必要です。

谷本　サプライチェーン企業も意識が必要となると、多くの企業に関係が深い法制となりそうです。

奥　サイバー対処能力強化法及び同整備法は、日本がサイバーセキュリティ戦略をアクティブな方向に舵を切ったことを示しています。特にインシデント報告の義務化は、大きな変化です。海外で発生したインシデントやサプライチェーン先で発生したインシデントも報告対象となる可能性がありますから、対応するには準備が必要です。企業は、どこで何が起こっているのかを速やかに把握し、報告できる体制を整えなければなりません。

谷本　そのために経営者は、どのようにリーダーシップを発揮すべきでしょうか。

奥　新法制への対応に限った話ではありませんが、まずサイバー攻撃による被害が実際に起こるという前提で考えることがなにより重要です。システムメンテナンスを委託していた企業のアカウントが悪用されたというような被害は、ニュースの中だけでなく、実際に起こっていることなのです。

蔦　例えば、サイバー攻撃を受け、個人情報漏えいなどが起こると被害者への賠償責任が発生します。それは会社にとっての損害となりますが、その損害について経営者が会社や株主から損害賠償請求を受ける可能性もあります。経営者にとって、サイバー攻撃のリスクは決して他人事ではありませんね。

奥　その上で経営者は、自社の重要な資産が何であるか、その資産の価値を損なう可能性のあるリスクは何か、さらにそのリスクが顕在化した場合にどのように対処するのかを明確にし、一連の流れを「プレイブック（対応計画）」として策定しなければなりません。

その際には、NIST CSF 2.0のほか、海外のリスクマネジメントフレームワークなどを参照しつつ、例えば社内ワークショップなどを通じて経営者自身が関与し、現場部門から収集したリスク情報を自ら評価することが重要です。単なる形式的な承認ではなく、経営者が自ら意思決定し、納得感を持って対応計画に落とし込むことで、いざというときの迅速な判断と実効性ある行動につながります。

とはいえ、セキュリティの話は技術的な側面も多く、経営者には理解が難しいものも多いです。そこで、NECは経営者が現場との認識のギャップを埋めるために、システムやセキュリティの状況、リスクの大きさを把握するためのツールやマネジメント層への支援を提供しています。例えば、自社への脅威の高まりや変化を「天気予報」のように提供するインテリジェンスや、複雑なシステムおよびセキュリティの状況を一元管理するマネジメントツール、収集した多様なデータをわかりやすく表示するデータ可視化環境などです。これらを通じて、経営者の適切な投資判断や、経営者主導によるプレイブックの策定を支援します。

「.JPを守る」というスローガンに込めたNECの思い

谷本　NISCや警視庁など、お二人は官と民、両方で豊富な経験を持っています。これから日本が官民連携を成功させ、能動的サイバー防御を実現する上で、何が重要だと考えられますか。

蔦　民間企業にもメリットが必要ではないでしょうか。義務を課すだけでは、スムーズな連携は難しいでしょう。インシデントを報告した企業に対して、フィードバックや救済措置がある方が、官民連携の強化、ひいては日本全体のサイバーセキュリティの底上げにつながると考えます。

奥　官といってもさまざまな国家機関がありますが、法執行機関と企業の連携は特に重要です。海外では、企業が持つデータや脅威インテリジェンスと、法執行機関の権限・国際的ネットワークを組み合わせ、成果を上げている事例が数多くあります。一方、日本では、官と民の人材交流が限定的で、知識や経験が十分に共有されているとはいえません。例えば、海外では、期間を区切って官民の人材が同じチームに入り、インシデント対応を共に行う「混成チーム」の仕組みが一般的に用いられています。日本でもこうした仕組みを導入し、人材の行き来や共同演習を積極的に進めていくことが、官民連携の深化に不可欠だと考えます。

谷本　NECは「.JP（日本のサイバー空間）を守る」を、サイバーセキュリティのスローガンに掲げていますね。非常に印象的な言葉です。

奥　NECの「.JPを守る」というスローガンは、NECだけで完結できるものではありません。日本のサイバー空間を守るには、官と民、そして利用者を含む社会全体の協力が必要です。この言葉に込めた思いを、多くの方々と共有し、一緒に行動していきたいと考えています。

谷本　サイバーセキュリティは、社会全体の課題です。官と民が力を合わせ、能動的に未来を守る姿勢こそが問われています。企業も個人も、日本のサイバー空間を守る一員として行動することが求められる時代になったのですね。