能動的サイバー防御有識者会議の提言解説

有識者会議の成り立ち

近年、サイバー攻撃の増加や高度化に伴い、「社会全体でのサイバーセキュリティの確保」が求められています。日本国内では、政府が主導してサイバーセキュリティ対策の強化を進めており、関連するさまざまなガイドラインが策定されています。また、企業や組織においても、サイバーセキュリティの重要性が高まる中で、対応能力の向上が急務となっています。

「サイバー安全保障分野での対応能力の向上に向けた有識者会議」は、国家安全保障戦略（2022年12月16日閣議決定）に基づき、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるべく、当該分野における新たな取り組みの実現のために必要となる法制度の整備などについて検討を行うために立ち上げられました。

提言における「実現すべき具体的な方向性」

冒頭に記載したとおり能動的サイバー防御は、従来の防御壁を築いて攻撃を止めるサイバー防御とは異なり「外部からのサイバー攻撃被害の発生を未然に防ぐため、攻撃の主体を特定するとともに排除措置を講ずる」ことで、サイバー空間の安全を確保する取り組みです。

サイバーセキュリティの歴史は、絶えず変化する脅威への対抗の軌跡であり、サイバー空間を取り巻く環境が激変している今、安全保障においてもサイバー空間の激しい脅威の変化に対応する必要があります（図表1）。

図表1：セキュリティと脅威の今昔

この取り組みを実現するために必要となる法制度の整備や考慮すべき事項を、政府の有識者会議では「実現すべき具体的な方向性」として取りまとめています。

「実現すべき具体的な方向性」は、3つの重点テーマと、テーマ横断的な課題より構成されています（図表2）。

図表2：提言で示された「実現すべき具体的な方向性」の概要

「実現すべき具体的な方向性」のポイント

「実現すべき具体的な方向性」で示されている提言事項は、次のようなものがあります。

（1）官民連携の強化

能動的サイバー防御を実現するためには、官のみ・民のみでサイバーセキュリティを確保することは限界があることから、政府機関、重要インフラ事業者、製品ベンダーその他サプライチェーンに関与する全ての者が連携してサイバーセキュリティの確保に努めていくことが必要
提供される情報には、高度な攻撃に対抗するための専門的な技術情報の提供に加え、経営層向けとなる、攻撃の背景や目的も含まれるべき
情報共有ポリシーによる適切な管理を行うべき（TLPの設定やセキュリティクリアランス制度の活用）
利用者がソフトウェア等の脆弱性リスクを適切に理解して利用することができるように、利用者への脆弱性情報の提供やサポート期限の明示を、製品ベンダー等の法的責務として規定すべき
経済安全保障推進法における基幹インフラ事業者^※1には、特定の機器について政府機関に機種名等の届出を行うことや、インシデント報告を義務化することで、ゼロデイ攻撃情報の迅速な提供や対応の要請等ができるような仕組みが必要
インシデント報告は迅速かつ効率的に行われることが重要であるため、報告先の一元化や様式の統一が必要

（2）通信情報の利用

通信情報の利用は、重大なサイバー攻撃による被害を未然に防ぐため、具体的な攻撃が顕在化する前の段階から行われる必要があるため、犯罪捜査とは異なる形での新制度の導入が求められる
通信情報の利用は、通信の秘密を考慮した範囲や方式の検討・制度設計が必要
政府による情報の収集や処理・分析、保存廃棄といった一連のプロセスを監督する独立機関の整備を検討するべき
電気通信事業者が直面し得る訴訟リスクや通信ユーザーの利便性低下、コスト負担を避けるためのガバナンスの仕組みを検討する必要がある
国民の理解を得るために、透明性を確保し、報告書の公表などが必要

（3）アクセス・無害化

政府は、重大なサイバー攻撃による被害を未然に防ぐため、攻撃者サーバー等へのアクセス・無害化を行う権限を持つべきであり、緊急性を意識した、臨機応変的な対応が可能な制度が必要
措置の実施主体は、既存の法執行制度や法執行機関の能力や機能、制度を活用すべき
措置の対象としては、安全保障上の必要性を考慮し、国や重要インフラ等に対するサイバー攻撃を重点とすべき
国境を超えて実施されるサイバー攻撃については、国際法との関係を整理する必要性がある

^{出典：「サイバー安全保障分野での対応能力の向上に向けた提言」（2024年11月29日）を基にPwC作成}

^{※1：「経済安全保障推進法における特定社会基盤役務の安定的な提供の確保に関する制度」にて定められている業種において、主務省令で指定された事業者をいう。執筆時点では15業種が指定。}