{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
近年、サイバー攻撃は高度化・巧妙化を続け、社会インフラに対する脅威は急速に増大しています。この状況を踏まえ、日本では2025年5月に「サイバー対処能力強化法(通称:能動的サイバー防御法)」が成立し、基幹インフラ事業者に対し新たな義務を課す制度として2026年10月1日から施行される想定となっています。
本稿ではサイバー対処能力強化法の概要から、基幹インフラ事業者に影響を与える資産届出、インシデント報告、協議会の各制度の詳細について解説します。後編では、基幹インフラ事業者の実務的な対応策を解説します。
能動的サイバー防御導入の背景
世界的に国家間のサイバー攻撃やハイブリッド戦争の脅威が増加し、社会インフラが狙われる事象も散見されています。電力網の停止や港湾の業務停止などがもたらす経済・社会的影響は甚大であり、国家安全保障の観点から対処は急務と言えます。
こうした状況を受けて、欧米主要国ではサイバー攻撃への対応能力を向上させる取り組みが進められてきました。このうち、社会インフラ事業者に関しては、セキュリティインシデント報告の義務化や政府からの情報提供といった取り組みが複数の国でなされています。関連する代表的な法律として、欧州のNIS2指令、米国の重要インフラ向けサイバーインシデント報告法(CIRCIA法)、オーストラリアの重要インフラ安全保障法(SOCI法)などが挙げられます。
日本でも、サイバー攻撃への対応能力を欧米主要国と同等以上に向上させるべく、法制度の整備が進められてきました。その結果として成立したのが、このサイバー対処能力強化法1及び同整備法2です。
基幹インフラ事業者に関する制度の全体像
サイバー対処能力強化法及び同整備法では、大きく以下の4つの事項が規定されています。
- 官民連携の強化
- 通信情報の利用
- アクセス・無害化措置
- 組織・体制整備など
このうち、直近で基幹インフラ事業者に影響するのは、サイバー対処能力強化法(以下「強化法」と記載)で定められる「官民連携の強化」のうち、以下3つの制度です。
- 「特定重要電子計算機」に係る資産届出
- 「特定重要電子計算機」に係るインシデント報告
- 情報共有・対策のための協議会設置
図表1:能動的サイバー防御関連法の全体像と基幹インフラ事業者に影響する制度
制度の対象となる基幹インフラ事業者とは、経済安全保障推進法に基づき指定されている15分野の約250社を指します。電力、ガス、電気通信、金融、鉄道など国民生活や経済活動の生命線を担う事業者です。これらの事業者には、特定重要設備の導入・維持管理などの委託時に政府へ事前届出をする義務がありますが、強化法の施行によって新たな義務が課せられることになります。
今回導入される制度は、基幹インフラ事業者自身だけでなく、委託先やグループ会社、さらにはクラウドサービスの提供者にまで影響が及ぶ可能性があります。そのため、企業はサプライチェーン全体の資産把握や情報管理態勢の整備、各関連事業者との協力関係の構築が求められます。
以下、2025年12月に公表された「サイバー対処能力強化法(官民連携)の施行に向けた考え方の案」や政省令案などに基づき、制度の詳細を説明します。
特定重要電子計算機とは
まず、資産届出およびインシデント報告の対象となる「特定重要電子計算機」とは何でしょうか。これは、強化法において、セキュリティ侵害が起こった場合に特定重要設備の機能の停止や低下をもたらすおそれがある機器と定義されています。具体的には、特定重要設備そのものに加えて、インターネットとの接続箇所にあるファイアウォールやVPN装置、認証サーバー、特定重要設備へのアクセスを制御する機器やDMZ、認証情報などの重要データを保存する機器など6つの類型が案として示されており、IT・OT双方にまたがる広範な対象が想定されます(図表2)。
図表2:特定重要電子計算機の類型
ネットワークが物理的に分離している場合や、クラウドサービスが特定重要電子計算機に当たる場合など、システム構成によって範囲が変わり得る点に注意が必要です。また、構成次第で委託先やグループ会社などが保有する機器が特定重要電子計算機に該当する可能性も考えられます。
資産届出制度の概要
基幹インフラ事業者は、特定重要電子計算機の導入時または変更時に、機器やソフトウェアの製品名と製造者名、クラウドサービスのサービス名とベンダー名を届け出ることが義務付けられます。併せて、届け出る特定重要電子計算機・特定重要設備の関係を示す資料も必要です。届出義務に違反した場合、所管大臣からの是正命令が発出され、これに従わなければ最大200万円の罰金が科されることになります。
強化法(官民連携部分)の施行は2026年10月1日(想定)ですが、初回の資産届出の期限はそれからさらに6カ月後の2027年4月1日(想定)で、以降は導入・変更のたびに届出を行うことになります。届け出た特定重要電子計算機については、政府から脆弱性などの情報が提供されると思われます。
委託先やグループ会社などが保有する機器が特定重要電子計算機に該当する場合、基幹インフラ事業者はそれらの機器情報を可能な範囲で収集して届出することになるものと想定されます。この場合、サプライチェーン全体のセキュリティガバナンス強化が必要となるでしょう。
インシデント報告制度の概要
基幹インフラ事業者は、特定重要電子計算機に関するサイバーセキュリティインシデント、もしくはその原因となり得る事象を認知した際、これを報告することが義務付けられます。こちらについても資産届出と同様に、違反時の是正命令の発出や200万円以下の罰金が規定されています。
届出対象の事象としては、マルウェアの実行、不正アクセス行為、業務妨害(DDoS攻撃など)とともに、これらの痕跡を認知した場合の4つが案として示されています。さらに、特定重要設備の場合はインシデント発生につながる事象(マルウェアの受信、不正アクセスの試行、認証情報の窃取など)も対象とされており、一般的に想定されるセキュリティインシデントよりも対象範囲が広いと想定されます。
報告事項としては、事象の概要(業務やシステムへの影響)、事象が発生した特定重要電子計算機および事象への対応などに加えて、攻撃に関する技術的な情報が挙げられています。この技術情報については、DDoS攻撃であれば攻撃手法や送信元・送信先など、ランサムウェアであれば侵入方法やランサムウェアの種類・特徴などが該当します。
報告の期限としては、インシデントの認知後①速やかに速報、②30日以内に詳報を提出するという案が示されています。インシデントの発生ではなく認知した(検知した、通知を受けた)時点から起算され、報告時点で把握した事項のみ届出が求められるとはいえ、インシデントを速やかに判断し報告できる体制やプロセスの構築が必要となるでしょう。構成次第では、資産届出と同じく、委託先やグループ会社、クラウドベンダーなどとの情報共有体制や報告ルールの整備も必要と考えられます。
協議会制度の概要
サイバー攻撃による被害の防止のため、情報共有及び対策に関する協議会が設置されることになっており、基幹インフラ事業者や機器のベンダーなどのうち同意を得た者が構成員となります。
協議会では守秘義務を伴う情報の共有が行われます。構成員は知り得た情報を適正に管理する必要があり、秘密の不正利用や漏えいには2年以下の拘禁刑または100万円以下の罰金が科せられます。また、協議会は構成員に必要な資料提出などを求めることができ、構成員は正当な理由がある場合を除いてその求めに応じなければならないとされています。
2025年12月に閣議決定された「サイバー対処能⼒強化法に基づく基本方針3」では、重要経済安保情報4についてもセキュリティ・クリアランス制度を活用して情報提供を行うとされています。したがって、これらの情報共有を受ける事業者は、クリアランスの取得や維持管理といった対応が必要になると想定されます。
まとめ
能動的サイバー防御に関する新たな官民連携制度の全体像と、基幹インフラ事業者に直接影響する資産届出、インシデント報告、協議会の各制度について解説しました。
これらは、欧米主要国と同水準のサイバー対処能力を確保し、被害の未然防止を図る上で不可欠な仕組みです。一方で、対象範囲がサプライチェーンにも及ぶ可能性があり、基幹インフラ事業者にとってガバナンスや実務負荷の増大は避けられません。法的義務の範囲で対応するだけでなく、自社の資産管理やインシデント対応力の見直し、サプライチェーン全体を含めたセキュリティレベル向上の機会として前向きに活用していくことが重要です。
後編では、これらの制度への対応のために、直近で事業者に推奨される事項について解説します。
PwCコンサルティングでは、サイバー対処能力強化法や経済安全保障推進法に関する制度理解や、基幹インフラ事業者への豊富な支援実績に基づき、制度対応のための体制・プロセス構築、社内ルール整備、技術的対策の高度化など幅広い支援を提供することが可能です。また、サイバーインテリジェンスの活用により、法令遵守にとどまらないプロアクティブなセキュリティ対策の実現に向けた支援も提供しています。ご興味がある方はお気軽にお問い合わせください。
1 重要電子計算機に対する不正な行為による被害の防止に関する法律
2 重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律
3 重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針
4 重要経済基盤(重要なインフラや物資のサプライチェーン)に関する一定の情報であって、公になっていないもののうち、その漏えいが我が国の安全保障に支障を与えるおそれがあるため、特に秘匿する必要があるもの(重要経済安保情報保護活用法の規定による)
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
