『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 【第3回】運用基準を踏まえた企業対応の在り方
2025年5月17日までに施行される経済安全保障分野におけるセキュリティ・クリアランス制度に関して、特に影響があると見込まれる事業者や事業者の担当者において必要となる対応を、2025年1月31日に閣議決定された運用基準を踏まえて解説します。
有識者会議の成り立ち
近年、サイバー攻撃の増加や高度化に伴い、「社会全体でのサイバーセキュリティの確保」が求められています。日本国内では、政府が主導してサイバーセキュリティ対策の強化を進めており、関連するさまざまなガイドラインが策定されています。また、企業や組織においても、サイバーセキュリティの重要性が高まる中で、対応能力の向上が急務となっています。
「サイバー安全保障分野での対応能力の向上に向けた有識者会議」は、国家安全保障戦略(2022年12月16日閣議決定)に基づき、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるべく、当該分野における新たな取り組みの実現のために必要となる法制度の整備などについて検討を行うために立ち上げられました。
提言における「実現すべき具体的な方向性」
冒頭に記載したとおり能動的サイバー防御は、従来の防御壁を築いて攻撃を止めるサイバー防御とは異なり「外部からのサイバー攻撃被害の発生を未然に防ぐため、攻撃の主体を特定するとともに排除措置を講ずる」ことで、サイバー空間の安全を確保する取り組みです。
サイバーセキュリティの歴史は、絶えず変化する脅威への対抗の軌跡であり、サイバー空間を取り巻く環境が激変している今、安全保障においてもサイバー空間の激しい脅威の変化に対応する必要があります(図表1)。
図表1:セキュリティと脅威の今昔
この取り組みを実現するために必要となる法制度の整備や考慮すべき事項を、政府の有識者会議では「実現すべき具体的な方向性」として取りまとめています。
「実現すべき具体的な方向性」は、3つの重点テーマと、テーマ横断的な課題より構成されています(図表2)。
図表2:提言で示された「実現すべき具体的な方向性」の概要
「実現すべき具体的な方向性」のポイント
「実現すべき具体的な方向性」で示されている提言事項は、次のようなものがあります。
(1)官民連携の強化
- 能動的サイバー防御を実現するためには、官のみ・民のみでサイバーセキュリティを確保することは限界があることから、政府機関、重要インフラ事業者、製品ベンダーその他サプライチェーンに関与する全ての者が連携してサイバーセキュリティの確保に努めていくことが必要
- 提供される情報には、高度な攻撃に対抗するための専門的な技術情報の提供に加え、経営層向けとなる、攻撃の背景や目的も含まれるべき
- 情報共有ポリシーによる適切な管理を行うべき(TLPの設定やセキュリティクリアランス制度の活用)
- 利用者がソフトウェア等の脆弱性リスクを適切に理解して利用することができるように、利用者への脆弱性情報の提供やサポート期限の明示を、製品ベンダー等の法的責務として規定すべき
- 経済安全保障推進法における基幹インフラ事業者※1には、特定の機器について政府機関に機種名等の届出を行うことや、インシデント報告を義務化することで、ゼロデイ攻撃情報の迅速な提供や対応の要請等ができるような仕組みが必要
- インシデント報告は迅速かつ効率的に行われることが重要であるため、報告先の一元化や様式の統一が必要
(2)通信情報の利用
- 通信情報の利用は、重大なサイバー攻撃による被害を未然に防ぐため、具体的な攻撃が顕在化する前の段階から行われる必要があるため、犯罪捜査とは異なる形での新制度の導入が求められる
- 通信情報の利用は、通信の秘密を考慮した範囲や方式の検討・制度設計が必要
- 政府による情報の収集や処理・分析、保存廃棄といった一連のプロセスを監督する独立機関の整備を検討するべき
- 電気通信事業者が直面し得る訴訟リスクや通信ユーザーの利便性低下、コスト負担を避けるためのガバナンスの仕組みを検討する必要がある
- 国民の理解を得るために、透明性を確保し、報告書の公表などが必要
(3)アクセス・無害化
- 政府は、重大なサイバー攻撃による被害を未然に防ぐため、攻撃者サーバー等へのアクセス・無害化を行う権限を持つべきであり、緊急性を意識した、臨機応変的な対応が可能な制度が必要
- 措置の実施主体は、既存の法執行制度や法執行機関の能力や機能、制度を活用すべき
- 措置の対象としては、安全保障上の必要性を考慮し、国や重要インフラ等に対するサイバー攻撃を重点とすべき
- 国境を超えて実施されるサイバー攻撃については、国際法との関係を整理する必要性がある
出典:「サイバー安全保障分野での対応能力の向上に向けた提言」(2024年11月29日)を基にPwC作成
※1:「経済安全保障推進法における特定社会基盤役務の安定的な提供の確保に関する制度」にて定められている業種において、主務省令で指定された事業者をいう。執筆時点では15業種が指定。
おわりに
能動的サイバー防御に関する法制度は、日本政府機関と重要インフラ事業者だけでなく、製品ベンダーや中小企業を含むサプライチェーンを構成する全ての日本企業にとって無視できないものとなっています。
サイバー空間の脅威が深刻化している事情を踏まえると、制度整備が急がれることは明白ですが、多くの解決すべき課題や考慮事項が有識者会議の提言として示されていることから、実際に能動的サイバー防御を実行に移すための議論は継続されるものと想定されます。
本稿執筆時点では、日本企業が実施すべき具体的な要件が明確にされていないため、今後の法案審議や関連動向をモニタリングし、自社に対する影響を先回りして把握していくことが必要です。
参考資料
内閣官房「国家安全保障戦略」
https://www.cas.go.jp/jp/siryou/221216anzenhoshou/nss-j.pdf
サイバー安全保障分野での対応能力の向上に向けた有識者会議「サイバー安全保障分野での対応能力の向上に向けた提言」
https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/koujou_teigen/teigen.pdf
「経済安全保障推進法」企業に求められる対応
10 results
Loading...
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 【第2回】運用基準の概要と企業影響見通し
経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度が2025年5月17日までに施行される予定です。閣議決定された運用基準の概要について、企業において対応が必要となる内容を中心に解説します。
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 -【第1回】諮問委員会での検討状況と企業影響見通し
セキュリティ・クリアランスの制度を定める重要経済安保情報の保護および活用に関する法律(重要経済安保情報保護活用法)の具体的な運用に関して、民間企業における影響が特に大きいと考えられる、適性評価および適合事業者の認定に関する内容を解説します。
経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度の企業影響について
2024年の通常国会での法制化が見込まれている経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度について、その施策内容と企業に及ぼす影響を解説します。
Loading...
インサイト/ニュース
40 results
Loading...
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
各国サイバーセキュリティ法令・政策動向シリーズ (2)インド
各国サイバーセキュリティ法令・政策動向シリーズの第2回目として、インド政府のデジタル戦略と組織体制、セキュリティにかかわる法律および規則とその動向などについて最新情報を解説します。
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
Loading...
