📊 事実
法整備と制度導入
- 令和7年5月16日に「サイバー対処能力強化法案」が成立し、官民連携の強化及び通信情報の利用に係る制度が導入されたソース1 ソース3。
- 令和7年5月23日に「重要電子計算機に対する不正な行為による被害の防止に関する法律」が公布されたソース1。
- 同法は「サイバー対処能力強化法」としても知られているソース2。
- 令和7年12月23日、「重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針」が閣議決定されたソース2。
- 令和8年5月28日、「重要電子計算機に対する不正な行為による被害の防止に関する法律に基づく特別社会基盤事業者による特定侵害事象等の報告等に関する命令」が公布されたソース1 ソース2 ソース3 ソース4 ソース7 ソース8。
- この命令は令和8年10月1日から施行されるソース4。
- 内閣総理大臣は、サイバー攻撃による被害防止のために「情報共有及び対策に関する協議会」を設置するソース1。
- 内閣府は特別社会基盤事業者との間で当事者協定の締結を推進するソース3。
- 特別社会基盤事業者は、電気、ガス、石油、水道など15事業に含まれ、計257者が指定されているソース8。
- 特別社会基盤事業者は、特定侵害事象を認知した後、速やかに報告書を提出する義務があるソース4 ソース8。
- 基幹インフラ事業者は、特定重要電子計算機の導入時にその製品名を事業所管大臣に届出る義務があるソース1。
- 特定重要電子計算機の導入は、導入日から4ヶ月以内に届出が必要であり、経済安全保障推進法に基づく指定を受けた場合は2ヶ月以内に行う必要があるソース4。
国家安全保障体制の強化
- 重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴い、関係法律の整備が行われたソース7。
- 国家公務員法が改正され、内閣情報官に加え内閣サイバー官が規定されたソース7。
- 警察官職務執行法が改正され、サイバー危害防止措置執行官が新たに設置されたソース7。
- サイバー危害防止措置執行官は、緊急時に加害関係電子計算機の管理者に対し、危害防止のための措置を命じることができるソース7。
- 重要電子計算機に対する特定不正行為が行われた場合、自衛隊が通信防護措置をとることができると規定されたソース7。
- 特別社会基盤事業者は、特定重要設備の機能が停止した場合、国家及び国民の安全を損なう事態を生じさせるおそれがあるソース8。
サイバー攻撃の現状と技術的リスク
- 令和6年中に観測されたサイバー攻撃関連の通信の99.4%が海外から発信されたソース1。
- 令和6年のフィッシング報告件数は約171万件で、令和5年の約120万件と比較して約1.4倍に増加したソース5。
- フィッシングメールの約8割がAIを利用しているという調査報告があるソース5。
- 情報処理推進機構(IPA)が2026年1月に発表した「情報セキュリティ10大脅威」には、「AIの利用をめぐるサイバーリスク」が3位、「内部不正による情報漏えい等」が7位にランクインしているソース6。
- 2025年には、アサヒグループHD、アスクル、英自動車大手ジャガー・ランドローバー、豪カンタス航空がサイバー攻撃を受けたと発表したソース6。
- 2018年に確認された個人情報漏洩事案の約8割が人的脅威によるものであったソース6。
- 2025年1月、米国テキサス州の裁判所で生成AIを用いて作成された意見書に実在しない判例が引用された事例があるソース10。
- 2025年2月、中高生3人が生成AIを補助的に使い不正アクセス禁止法違反で逮捕された事例があるソース10。
- 2025年6月、Microsoft 365 Copilotの脆弱性「EchoLeak」が報道され、秘密データが流出する可能性が指摘されたソース10。
- 2025年7月8日、日鉄ソリューションズがゼロデイ攻撃による不正アクセス被害を公表し、個人情報が漏えいしたおそれがあると発表したソース10。
- 能登半島地震の際に救助要請を求める偽情報が拡散し、救助活動に支障をきたした事例があるソース5。
- 米国防総省近くでの爆発を示す偽画像が株価を一時下落させた事例があるソース5。
- コグニティブセキュリティーは、デジタル社会において脆弱性となりうる人間の認知を守ることを目的としているソース5。
💡 分析・洞察
- 「重要電子計算機に対する不正な行為による被害の防止に関する法律」および「サイバー対処能力強化法」の施行、内閣サイバー官やサイバー危害防止措置執行官の新設、自衛隊による通信防護措置の規定は、基幹インフラへのサイバー攻撃が国家の存立基盤と国民生活を脅かす深刻な事態であるとの認識に基づき、国家としての対処能力を抜本的に強化する意図が明確である。
- 特別社会基盤事業者に対する報告義務と情報共有体制の構築は、海外からの発信が99.4%を占めるサイバー攻撃に対し、官民一体での防御態勢を構築し、迅速な初動対応と被害拡大防止に繋げるための不可欠な措置と評価できる。
- AIの利用をめぐるサイバーリスクの増大(フィッシングメールの約8割がAI利用、IPAの10大脅威で3位)と偽情報の拡散事例(能登半島地震時の救助活動妨害、株価下落)は、単なる情報漏洩に留まらず、社会秩序の混乱や国民の生命・財産に直接的な危害をもたらし得る新たな脅威であり、治安維持の観点から緊急の対応が求められる。
- 過去の個人情報漏洩事案の約8割が人的脅威によるものであった事実や、生成AI利用による不正アクセス・虚偽情報生成の事例は、技術的な防御だけでなく、人間の脆弱性を悪用する攻撃が主流である現状を示しており、コグニティブセキュリティーの概念導入が不可欠である。
⚠️ 課題・リスク
- 特定侵害事象の報告義務や特定重要電子計算機の導入届出義務は、基幹インフラ事業者に新たな行政負担とコスト増を強いる可能性があり、中小規模の事業者にとってはコンプライアンス維持が困難となる恐れがある。
- 令和8年10月1日の法施行までに、257者が指定されている特別社会基盤事業者が報告体制を完全に構築し、政府機関との当事者協定を締結できるか、実効性のある情報共有と連携が確立できるかには不確実性が残る。
- サイバー攻撃関連通信の99.4%が海外から発信されている状況下で、国内法制度による対応には限界があり、加害国への責任追及や国際的な協力体制の構築が困難な場合、実質的な抑止力とならない可能性がある。
- AIの悪用によるフィッシングの高度化や偽情報の拡散は、国民のデジタルリテラシーが低い層を狙い撃ちし、社会全体の不信感を醸成し、民主主義プロセスや治安に悪影響を及ぼすリスクが極めて高い。
- 自衛隊による通信防護措置の発動基準や、サイバー危害防止措置執行官による緊急命令の運用に際しては、国民の通信の自由や財産権との兼ね合いについて、厳格な法解釈と運用の透明性が担保されなければ、国民からの不信を招く恐れがある。
- 特定重要電子計算機の製品名届出義務は、供給源の多様性を確保しつつも、特定の外国製製品への依存度を低減する具体的な措置がなければ、サプライチェーン上のセキュリティリスクを完全に排除できない。
主な情報源: 内閣府 / IPA 情報処理推進機構 / 朝日新聞 / 文部科学省 / SIPRI(ストックホルム国際平和研究所)
コメント