2025.07.09 05:15

成立したサイバー安全保障法について

サイバー、バ。

　サイバー安全保障を確保するための能動的サイバー防御等に係る態勢の整備の推進に関する法律が先の国会で成立した。目に見えない形で発生する攻撃であるから自衛隊が出動したりパトカーや消防車が出動することはないし、その場では惨劇は起きない。実際にはサイバー攻撃、もしくはサイバーテロは頻繁に発生しており多くの報道がされている。

　サイバー攻撃の主要な目的は、金銭を得るため、知的財産を盗み取るため、企業に損害を与えるため、自己承認欲求を満たすため、などがあるが中には政治的な目的や軍事的な目的を疑う事例も存在する。警視庁によればサイバー犯罪の令和6年の検挙数は12369件に上る。不正アクセスを検知した件数は1日に9520件となっており5年間で3倍に増加している。手口はトロイの木馬やワームなどのマルウェアと呼ばれる感染先を不正に動作させるもの、中でも感染先のデバイスの保有者に金銭を要求するタイプをランサムウェアと呼ばれており近年増加傾向にある。その他にも、大量アクセスによりサーバーへ負荷をかけパンクさせるDOS攻撃、データベースを操作するためのプログラミング言語「SQL文」を使ってシステムを不正に操作するサイバー攻撃のSQLインジェクション、ネットワークに侵入・潜伏して継続的におこなわれるAPT攻撃、コンピューターに処理能力を超える大量のデータを送信し誤動作を起こさせプログラムによって乗っ取るバッファオーバーフロー攻撃、通信を乗っ取り通信当事者になりすますセッションハイジャック、別のサイバー攻撃などで不正に流出しリスト化されたIDやパスワードを利用して不正ログインをおこなうリスト型攻撃などがある。

　総合転職サイト運営のエン・ジャパン社は外部からの不正ログインによって25万人分の履歴書が流出した。アパレル系企業である株式会社アダストリアは不正アクセスによってECサイト登録情報104万件が流出した。チューリッヒ保険会社は外部委託業者が第三者からの不正アクセスを受け75万件の顧客情報が流出した。ニトリホールディングスは不正ログインにより13万件のクレジットカード情報などの顧客情報が流出した。森永製菓は164万件、中日新聞は14万件、ユピテルは40万件、お見合いアプリ「Omiai」を運営するネットマーケティング社は171万件の顧客情報が流出した。鹿島建設の海外グループ会社は130万件の事業データがランサムウェアの人質となった。全日本空輸はANAマイレージクラブの会員情報100万件が流出、サンリオはピューロランドファンクラブの会員情報4万件が流出している。

　サイバーテロを受けると事後処理も大きな負担となる。事故の調査費用、システムの復旧費用、顧客へのお詫び費用、新規のセキュリティ導入費用、裁判費用などである。地道な努力で回復していくしかない顧客からの信頼低下やブランド価値の毀損は金銭的被害以上に大きな損失であるとも言える。サイバー攻撃を受けるのは大企業に限ったことではない。中小企業や経済団体、医療機関もその標的となっている。ランサムウェアによって電子カルテが人質となり新規患者の受け入れを停止した病院もある。

　内閣官房内閣サイバーセキュリティセンター（NICS）や関係省庁と警察は共同でサイバーセキュリティ対策を強化するよう注意喚起を積極的に行っている。併せて、サイバー攻撃事案の発生を想定した重要インフラ事業者等との共同対処訓練を継続的に実施している。令和4年度中に警察との連携を強化する訓練を自治体、電力事業者、金融機関等の幅広い分野の事業者等と約600回開催している。また、警察はサイバー攻撃事案で使用された不正プログラムの解析等を通じてＣ２サーバ（乗っ取ったサーバのコントロール役のサーバ）として機能している国内のサーバを把握し、Ｃ２サーバとしての不正な機能を停止するようサーバを管理する事業者等に依頼している。

　インターネット空間における安全の保持に係る法規定がないわけではない。2015年にはサイバーセキュリティ基本法が施行されている。この法律はサイバーセキュリティに関する施策を総合的かつ効率的に推進するための理念や国の責務、サイバーセキュリティ戦略をはじめとする施策の基本となる事項を規定している。同法に基づき内閣にサイバーセキュリティ戦略本部が設置され、その事務局として内閣サイバーセキュリティセンター（NISC）が組織された。2015年に日本年金機構の情報ネットワークがサイバー攻撃にあい、機構が保有する多数の個人情報が流出した。NISCは日本年金機構に情報漏えいが起こった旨の通報はできたものの調査可能な対象は中央省庁に限られていた。そのことから2016年に国が行う不正な通信の監視、原因究明調査等の対象範囲を特殊法人や独立行政法人に広げる法改正を行った。2018年に韓国・平昌で冬季オリンピックが開催されたが、その際に多くのサイバー攻撃が確認された。2020年の東京オリンピック・パラリンピックの開催に万全を期すため官民が連携して対策を取れるよう2019年に法改正が行われサイバーセキュリティ協議会が創設され官民相互の情報共有が図られた。

　政府のセキュリティ戦略として「情報の自由な流通の確保」、「法の支配」、「開放性」、「自律性」、「多様な主体の連携」の5原則が挙げられている。「経済社会の活力の向上・持続的発展」「国民が安全・安心して暮らせる社会」「国際社会の平和・安全、および我が国が安全保障に寄与すること」を目標としていることも明示されてきた。これまではセキュリティ基本法を改正することで対応してきたが今回はなぜ新法の制定を図るのか。サイバーセキュリティ基本法は基本理念が中心となった法律で事業者や個人が具体策を行うための参考とはなりにくいからである。より実効性のあるサイバーセキュリティ対策を推進する法律が求められている。サイバー安全保障を確保するための能動的サイバー防御等に係る態勢の整備の推進に関する法律案（サイバー安全保障法）ではサイバーセキュリティ基本法の内容を含むサイバーセキュリティに関する法規定の再構築を図るものとなっている。基本的施策として、能動的サイバー防御措置のために必要な法制の速やかな整備（6条）、サイバー安全保障を確保する措置のために必要な行政組織の整備（7条）、セキュリティクリアランスを受けた人材を含む人材の確保（8条）、重要社会基盤事業者に対する助言等・サイバー攻撃を受けた者に対する相談体制の整備（9条）、能動的サイバー防御措置に資する情報通信技術等に関する調査・研究開発の推進（10条）、能動的サイバー防御措置に関する国民の理解・関心の増進（11条）、能動的サイバー防御に関する国際協力の推進（12条）が主な内容となっている。能動的サイバー防御措置とは外部からのサイバー攻撃について被害発生前の段階から兆候に係る情報等の収集を通じて探知し特定するとともに、その排除のための措置を講ずることにより、国家・国民の安全を損なうおそれのあるサイバー攻撃の発生及びこれによる被害の発生・拡大の防止を図ることとされる。これまでは被害が発生してから調査後にサーバの停止措置などを講じてきたことが結果的にテロリストの後手に回ってきた。それを攻撃が発生する前に排除できるようにし、先手を打って無害化することの意義は大きい。

　北朝鮮が韓国の裁判所のサーバにハッカー行為を行っていたり、ロシアとウクライナの間でもサイバー攻撃が活発化しているという。国民の8割が利用しているとされるLINEを運営するLINEヤフーの親会社Aホールディングス社の株式の半数近くを韓国企業であるネイバー社が保有している。LINEは度々情報漏洩事故を起こしていることから国家間の問題になりつつある。国民の安全保障上、LINEの国産化が望まれるのは当然である。日本人の生命と財産を守るという日本政府の責務としてLINE問題は強硬的に解決に導く必要があるのではないだろうか。

＊能動的サイバー防御は憲法が保障する「通信の秘密」や「不正アクセス禁止法」といった現行法体系に抵触するのではないか。

＊LINEに国産化、LINEに代わる国産アプリの提供を政府主導で取り組むべきではないか。

＊能動的サイバー防御に協力する通信事業者の訴訟リスクに関しても法に規定されるべきではないか。

＊虚偽情報等の拡散が国家・国民の安全に及ぼす影響についても研究と対策を検討するべきである。

＊能動的サイバー防御と並行してサイバー攻撃を受けてもダメージを軽減する体制作りにも注力するべきではないか。

参考

令和６年におけるサイバー空間をめぐる脅威の情勢等について　警視庁

https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6/R06_cyber_jousei.pdf

サイバー安全保障を確保するための能動的サイバー防御等に係る態勢の整備の推進に関する法律案

https://www.sangiin.go.jp/japanese/joho1/kousei/gian/213/pdf/t1002130072130.pdf

「サイバー安全保障法案」を参議院に提出　国民民主党

https://new-kokumin.jp/news/diet/20240424_2