1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 能動的サイバー防御 法案が閣議決定

能動的サイバー防御 法案が閣議決定

セキュリティニュース

投稿日時: 更新日時:

能動的サイバー防御 法案が閣議決定

日本政府は、サイバー攻撃を未然に防ぐ「能動的サイバー防御」を導入するための法案を閣議決定しました。本法案では、警察や自衛隊が独立した機関の承認を得た上で攻撃元にアクセスし、無害化する措置を講じることを可能にします。これにより、日本のサイバー防衛能力が大きく強化されることが期待されます。

法案の背景と導入の経緯

政府がこの法案を推進する背景には、近年のサイバー攻撃の増加があります。特に、国家が関与していると疑われる攻撃が政府機関や重要インフラを標的にする事例が増えており、日本のサイバーセキュリティに対する脅威が深刻化しています。

例えば、2019年以降、外務省や防衛省などの政府機関が中国の関与が疑われる攻撃を受け、昨年には暗号資産の会社から約480億円相当のビットコインが流出する事件が発生しました。北朝鮮のハッカー集団が関与していたとされ、サイバー空間の安全保障はますます厳しい状況にあります。

こうした背景から、政府は2022年に改定した「国家安全保障戦略」に「能動的サイバー防御」の導入を明記し、2023年には有識者会議を設置。法整備の検討を進め、今回の閣議決定に至りました。

法案の主な内容

1. 重要インフラ事業者との協定と監視体制の強化

本法案では、政府が電気、鉄道などの重要インフラ事業者と協定を結び、サイバー攻撃の兆候を監視するために通信情報の取得を可能にします。また、攻撃を受けた場合の報告を義務化し、情報共有の強化を図ります。

2. 警察・自衛隊による攻撃元の無害化措置

警察や自衛隊は、新たに設置される「サイバー通信情報監理委員会」の承認を得た上で、攻撃元のサーバーなどにアクセスし、無害化措置を講じることが可能になります。これにより、攻撃の拡大を防ぎ、迅速な対処が可能となります。

3. 罰則の導入

違反者に対する罰則も明記されており、取得した情報を外部に漏えいした場合は最大で「4年以下の拘禁刑または200万円以下の罰金」が科されます。また、重要インフラ事業者が政府への報告義務を怠った場合には「200万円以下の罰金」が課されます。

4. 内閣サイバー官の新設

内閣官房には、サイバー安全保障に対応する事務次官級の「内閣サイバー官」を新設し、政府の対応能力を強化します。

憲法上の論点:「通信の秘密」との整合性

本法案が国会で審議される際、憲法が保障する「通信の秘密」との整合性が重要な論点となります。 政府の有識者会議は「公共の福祉のために必要かつ合理的な制限を受ける」との考え方を示し、政府の情報利用を監督する独立機関の設置を求めました。

これにより、政府が民間の通信情報を収集・分析する際は独立機関の承認が必要となり、個人間のメールの本文などは対象外とされます。 また、警察や自衛隊が攻撃元にアクセスする場合も独立機関の承認が必要ですが、「承認を得るいとまがない特段の事由がある場合」は事後通知で対応可能とする例外規定も設けられています。これが適切な歯止めとして機能するかどうかが、今後の議論の焦点となります。

参照 攻撃元にアクセスし無害化「能動的サイバー防御」法案閣議決定

能動的サイバー防御の問題点

現在の能動的サイバー防御の問題点は以下です。

企業との連携で「政府からの対処調整、支援等」がどこまで行われるかまだ決まっていない

まず、米国のようにサイバー攻撃被害の報告を企業に義務化する、報告をしない場合は制裁金が課される、といった制度になるとどうでしょうか? 企業にとっては内部事情を政府に知られなくない場合や、報告した内容が他の目的に使用されないか不安を感じる可能性もあると思います。 また、ランサムウェアによる被害の場合は、身代金を払うかどうか等の判断にも影響するかと思います。身代金を払ってしまい、かつ報告しないで罰金を科せられる、となると泣き面に蜂のような事態となってしまいます。 「政府からの対処調整、支援等」が企業にとってどの程度有益なものになるのかによっても変わるかと思いますが、具体的な政策がどのようなものになるか注視が必要です。

悪用が疑われるサーバを検知 に関する問題

次に、悪用が疑われるサーバを検知の場合は、「通信事業者が役務提供する通信に係る情報」が具体的にどのような情報を指すのか不明なため現状では何とも言えませんが、 仮に未然に攻撃者サーバを無力化する為、政府への必要な権限付与 で行う無害化に資するような情報を収集するとなると、プライバシーや通信の秘密の保護に大きな懸念を生じさせる可能性があります。日本国憲法21条後段は「通信の秘密」を定めており、基本的には国や通信事業者は第三者間の通信を侵害することは出来ないとされています。

特に日本の法律では諸外国よりも「通信の秘密」の保護範囲が広く解釈されており、通信内容だけでなく送信・受信IPアドレスやトラフィックデータなどの外形的事項も通信の秘密に該当するとされています。

唯一、犯罪対応等の刑事捜査の場合は、警察は裁判所からの令状により通信傍受等が可能となりますが、刑事捜査ではない安全保障上の活動でそのような行為が憲法上認められるのかは疑問です。 2024年7月2日 政府は能動的サイバー防御の法制化を見据え、通信監視対象で国内のやりとりは除外を検討している事を明かしました。

セキュリティクリアランス(重要経済安保情報の保護及び活用に関する法律)も2025年5月17日までに施行

能動的サイバー防御と重要インフラや施設に指定された組織へのセキュリティクリアランスは表裏一体で岸田政権から法案可決を目指していました。 セキュリティクリアランス制度は重要経済安保情報の保護及び活用に関する法律として、既に可決されており2025年5月17日までに施行予定です。

セキュリティクリアランスとは わかりやすく

セキュリティ・クリアランス制度とは、「国家における情報保全措置の一環として、政府が保有する安全保障上重要な情報として指定された情報に対して、アクセスする必要がある者のうち、情報を漏らすおそれがないという信頼性を確認した者の中で取り扱うとする制度」です。

なお、セキュリティ・クリアランス制度導入は本法案が初ではなく、日本でも既に「防衛」「外交」「特定有害活動(いわゆるスパイ活動等)防止」「テロリズム防止」の4分野について、必要な情報を特定秘密と指定し、取扱者の適性評価の実施や漏えいした場合の罰則などを定めた「特定秘密保護法」が存在します。 今回の法案は、特定秘密保護法が対象とする4分野以外の経済や技術に関する情報、いわゆる経済安全保証に関する情報にまで秘密指定の対象を拡大するものになります。

関連記事

能動的サイバー防御とは 専門家が解説能動的サイバー防御とは 概要や問題点を専門家が解説 能動的サイバー防御を見据え 日本政府取得の通信情報 米国と共有へ能動的サイバー防御を見据え 日本政府取得の通信情報 米国と共有へ 能動的サイバー防御の法制化に伴い、通信監視対象を国内のやりとりは除外能動的サイバー防御の法制化を見据え、通信監視対象で国内のやりとりは除外へ 能動的サイバー防御法の成立と今後の注目点-安全保障とプライバシーの狭間で能動的サイバー防御の成立と今後の注目点-安全保障とプライバシーの狭間で 能動的サイバー防御に関連する法案が2024年内の提出見送り能動的サイバー防御に関連する法案が2024年内の提出見送り 能動的サイバー防御の法案概要がまとまる能動的サイバー防御の法案概要がまとまる 自民党が能動的サイバー防御法案を了承 週内に閣議決定へ自民党が能動的サイバー防御法案を了承 週内に閣議決定へ 石破首相、能動的サイバー防御に関する法案提出に向けて作業加速を指示石破首相、能動的サイバー防御に関する法案提出に向けて作業加速を指示 セキュリティホールとは?セキュリティホールとは?