{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
2025年5月に成立した「サイバー対処能力強化法(通称:能動的サイバー防御法)」について、前編では基幹インフラ事業者に影響する資産届出、インシデント報告、協議会の各制度の詳細を説明しました。
後編では、2026年10月からの施行(制度の開始)と、社会インフラのサイバー攻撃への対処能力向上に向けて、直近で基幹インフラ事業者に推奨される事項について解説します。
制度開始に向けたタイムラインと基幹インフラ事業者への推奨事項
サイバー対処能力強化法では、資産届出、インシデント報告、協議会の各制度に関する部分は公布から1年6カ月以内に施行されることが定められています。現在の想定スケジュールとしては、施行が2026年10月1日、それに先立つ省令の公布が5月とされています。したがって、基幹インフラ事業者は、政省令によって制度の詳細が明確になってから制度が開始されるまでの約5か月間で制度に対応することが求められます(図表1)。
図表1:資産届出、インシデント報告、協議会の制度開始に向けたタイムライン
この期間内で制度に対応するために、直近で基幹インフラ事業者が実施すべき事項としては以下の4点が考えられます。
- 資産情報の最新化と可視化
- インシデント対応体制の確認と整備
- 最新情報を活用可能なセキュリティ対策プロセスの整備
- セキュリティ・クリアランス制度への対応の検討
1:資産情報の最新化と可視化
資産届出制度、インシデント報告制度のどちらについても、対象は「特定重要電子計算機」となります。この特定重要電子計算機のうち特定重要設備は経済安全保障推進法で規定済みですが、それ以外は今回の法制度によって初めて規定されたものですので、制度対応のためには、最初に自社における特定重要電子計算機を把握することが必要です。特定重要電子計算機の類型は図表2のとおりです。
図表2:特定重要電子計算機の類型
資産届出(特定重要電子計算機の情報の届出)の初回期限は2027年4月1日(想定)と猶予があるものの、インシデント報告制度は2026年10月1日(想定)より開始されることから、それまでに特定重要電子計算機を見極めなければなりません。
特定重要電子計算機の正確な洗い出しを行えるようにするために、まずは資産管理台帳やシステム・ネットワーク構成情報の最新化を推進します。機器の製品名、製造者名、機能、設置場所などの情報を確認し、変更があれば速やかに反映する必要があります。IT・OT環境の別を問わず、クラウドやベンダー資産も含めて全体の見える化が重要です。これによって資産届出対応がしやすくなるだけでなく、インシデント発生時の報告対象の該非判断や、インシデント対応・報告の際に必要な情報が得られます。
OT環境では資産情報の把握がされていないケースも想定され、その場合はまず早期把握から着手することになります(参考:OT環境のスピーディーな資産把握支援)。継続的な制度対応のためには、資産の自動把握ができるツールの導入などにより、業務影響を最小化しつつ精度を高めることが効果的です。
2:インシデント対応体制の確認と整備
インシデント報告の対象である特定重要電子計算機は、インターネットとの接続点から特定重要設備までと範囲が比較的広く、関連する部門や組織も複数にまたがることが想定されます。したがって、インシデント報告にあたっては、検知から報告まで部門・組織間で連携して対応できなければなりません。報告時には業務への影響や攻撃手法などの調査も必要となりますので、インシデント対応体制全体の中で、それらの調査を実施するスキルが確保できていることも重要です。
委託先や関連企業に特定重要電子計算機があると想定される場合は、それらサプライチェーンからの報告フローについても確認し、必要な情報が報告されるように整備を進めておくべきでしょう。
最終的なインシデント報告対応の全体像は以下の図表3のようになるものと想定されます。自社の状況を踏まえて、報告や情報連携が確実に行われる体制になっているかを確認し、不備がある場合は整備を進めることが推奨されます。
図表3:インシデント報告対応の全体像(想定)
3:最新情報を活用可能なセキュリティ対策プロセスの整備
協議会に参加した際は、政府からサイバー脅威や脆弱性などに関する最新の情報が共有されるものと考えられます。基幹インフラ事業者が報告したインシデント情報についても、政府による整理・分析後に共有される想定です。一方で、それらの情報をただ受け取るだけでは意味がありません。最新情報を活用してセキュリティを向上させることは、各社が主体的に推進すべき取り組みと言えます。
そこで、最新の情報をセキュリティ対策やセキュリティ戦略に反映できるよう、プロセスを整備することが推奨されます。具体的には、最新の脅威や攻撃手法などの情報をタイムリーに監視・分析ルールに反映できるような仕組み・運用の導入、危険度の高い脆弱性が発見された場合に早期対応を可能とする体制・プロセスの構築、サイバー攻撃などのトレンドを踏まえたセキュリティ戦略の見直しサイクルの高速化などが考えられます。
4:セキュリティ・クリアランス制度への対応の検討
協議会における重要経済安保情報の取り扱いにおいて、セキュリティ・クリアランス制度の活用が想定されることは前編で述べたとおりです。この重要経済安保情報の具体的な例として、内閣府による概要説明資料では以下のようなものが挙げられています。
- 我が国の重要なインフラ事業者の活動を停⽌⼜は低下させるようなサイバー攻撃等の外部からの⾏為が実施された場合を想定した政府としての対応案の詳細に関する情報
- 我が国にとって重要な物資の安定供給の障害となる外部からの⾏為の対象となりかねないサプライチェーンの脆弱性に関する情報
このように、基幹インフラ事業者のセキュリティ対策に大きく影響する情報についても、重要経済安保情報に該当し得ることがわかります。
こういった情報の提供を受けるためにはセキュリティ・クリアランス制度に基づいて事業者・従業員のそれぞれが認定を受ける必要がありますが、一方で制度自体が新しいため、対応が浸透しているとは言えません。したがって、事業者はまず制度そのものや必要な対応について把握・理解することが必要です。また、取得や取得後の運用に必要な社内ルールなどの整備も必要になるでしょう。具体的には、クリアランス取得・維持に向けた制度や、得られた重要経済安保情報の管理のためのルールなどが整備・検討の対象として考えられます。
まとめ
能動的サイバー防御は基幹インフラのセキュリティ向上に向けた重要な取り組みであり、単なる法令遵守にとどまらない、事業継続性と社会的信頼確保のための基盤構築でもあります。基幹インフラ事業者は、特定重要設備に影響する部門・組織・サプライチェーンにおける連携と体制強化を推進し、実効的な対応を行わなければなりません。複数組織が関与することで、対応に時間を要することも想定されるため、早期に対応を開始し、計画的に推進することも重要です。
制度の施行により、日本の社会基盤のサイバー攻撃への対処能力が向上し、生活や経済活動がより安定的に営まれることが期待されます。本稿が基幹インフラ事業者ならびに関連組織の皆さんの制度理解と実務対応推進の一助となれば幸いです。
PwCコンサルティングでは、サイバー対処能力強化法や経済安全保障推進法に関する制度理解や、基幹インフラ事業者への豊富な支援実績に基づき、制度対応のための体制・プロセス構築、社内ルール整備、技術的対策の高度化など幅広い支援を提供することが可能です。また、サイバーインテリジェンスの活用により、法令遵守にとどまらないプロアクティブなセキュリティ対策の実現に向けた支援も提供しています。ご興味がある方はお気軽にお問い合わせください。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
