政府は6日、サイバー攻撃から国家や重要インフラを守る「能動的サイバー防御」に関する第3回有識者会議を開催し、論点整理を行いました。
能動的サイバー防御とは、国家や重要インフラに対する重大なサイバー攻撃を未然に防ぎ、被害の拡大を抑えるための先制的な防衛手段を指します。
今回の会議では、急速に進化するサイバー攻撃の脅威に対処するため、今後の議論や提言に向けた4つの重要分野――官民連携の強化、通信情報の利用、アクセス・無害化、そして横断的課題――について、これまでの議論を取りまとめました。
国家安全保障戦略に基づき、サイバー空間の安全確保と重要インフラ保護がもとめられるなか、重要インフラ事業者に対するインシデント(サイバー攻撃事案)報告義務化や、攻撃実態を把握を目的とした平時からの通信情報分析の必要性などが明記されました。
1: 官民連携の強化
・「平時・有事」の区別なく、政府が率先して情報提供し、官民双方向の情報共有を促進すべきだ。セキュリティクリアランス制度の活用などによる緊急時の一元的な情報発信が必要だ
・安全な製品開発や脆弱性の対応に関するベンダの責任を規定すべき。安全性のテスト基準等ベンダの規律を設定し、セキュアな製品の提供や脆弱性情報の報告等を求めるべきだ
・重要インフラのデジタル依存度が増していることを踏まえ、インシデント報告を義務化すべき。特にデジタルインフラと電力は重要なインフラとして扱うべき。インフラ以外の事業者は、官民の会議体設置など情報共有を促進する仕組みを設けるべきだ
2: 通信情報の利用
・攻撃の実態を把握するため、通信情報の分析を平時から行うことが必要だ
・外国が関係する通信の分析が特に必要。日本を経由する外国から外国への通信(トランジット通信)は先進主要国と同等の方法の分析をできるようにしておくことが必要だ
・個人のコミュニケーションの本質的内容に関わる情報は特に分析する必要があるとまでは言えず、メールの中身を逐一すべて見ることは適当ではない
・通信の秘密であっても、法律により公共の福祉のために必要かつ合理的な制限を受ける。具体的な制度設計の各場面において、丁寧な検討を行うべき。通信利用者の有効な同意がある場合の通信情報の利用は、憲法上許容される
・官民の適正な連携のためにも、独立機関等のガバナンスの仕組みを検討することが必要だ。国民の理解を得ていくため、制度の在り方の議論を深めることや透明性を確保していく視点が重要。すべてを公開することは難しいが、適切な情報公開は行われるべきだ
3: アクセス・無害化
・インシデントが起こってから令状を取得し捜査を行う、刑事手続の令状審査では対処できないのではないか。状況に応じた措置を即時的に実施する現行の警察官職務執行法を参考とすべきだ
・事態を細かく区切り事態を認定するという従来の方式ではなく、平素から我が国を全方位でシームレスに守るための制度の構築が必要だ
・諸外国での無害化措置の実行・運用主体を考慮すると、国内においては防衛省・自衛隊、警察等が保有する能力を活用すること、高度化することが極めて重要だ
・攻撃インフラの多重性・サイバー攻撃の技術的複雑性を踏まえ、関係国との国際連携・協力が重要だ。アクセス・無害化措置については、平素からのサイバーに限られない情報収集が重要だ
4: 横断的課題
・サイバーセキュリティに関わる人材は、技術者に限られるものではなく、経営等に関わる者も含め、人材の定義(役割、知識、技術等)付けや資格による可視化を通じて育成・確保を進めるべき
・基幹インフラのサプライチェーン等中小企業のセキュリティ対策について、ツールの提供等を含めた支援を検討すべき
・政府の司令塔は、インテリジェンス能力を高め、技術・法律・外交等の多様な分野の専門家を官民から結集し、強力な情報収集・分析、対処調整の機能を有する組織とすべき
関連リンク
・サイバー安全保障分野での対応能力の向上に向けた有識者会議 – 第3回の資料や議事要旨など。内閣府
・「能動的サイバー防御」有識者会議の議事録を公開 – 政策ニュース.jp(2024年6月14日)