サイバー攻撃への備え
2022年8月24日
本日(8月24日)は,ロシアがウクライナの侵略を開始した2月24日からちょうど半年になります。
ウクライナの短期間での占領というロシアの目論見は見事にはずれ,現在戦力を集中させている東部戦線でも目立った戦果はありません。この膠着した状態は当分続き,戦争は泥沼化していくものと予想されます。戦力的にはウクライナ軍を圧倒するロシア軍の,かような無様な戦いぶりに驚きを禁じ得ませんが,ロシアの計算違いの一つとして,ハイブリッド戦での戦果を挙げられなかったことが指摘されています(2014年のクリミア併合の際には,このハイブリッド戦が見事に成功したとされます。)。
ハイブリッド戦とは,「軍事と非軍事の境界を意図的にあいまいにした現状変更の手法」であり,「サイバー攻撃による通信・重要インフラの妨害,インターネットやメディアを通じた偽情報の流布などによる影響工作を複合的に用いた手法」とされます(防衛白書)。
ロシアは,今回の侵略の直前にもウクライナに対して大規模なサイバー攻撃を仕掛けたものの,今回はそれが目立った成果を上げることができなかったとされます。
ウクライナは,クリミア併合の際の教訓から,サイバー攻撃に対する備えを強化していた結果,今回のロシアによるサイバー攻撃の影響を最小限にとどめたのだそうです。
このサイバー攻撃は,既に我が国にも繰り返し仕掛けられてきており,実際の被害も生じておりますが,こうした状況の下,2022年5月11日,いわゆる経済安全保障推進法が参議院で可決され,成立しました。
この法律の主な柱は
① 特定重要物資の供給網の確保
② 基幹インフラ役務の安定的な提供の確保
③ 最先端技術の開発支援
④ 国の安全を損なうおそれのある特許の非公開化
の4つですが,サイバー攻撃に対する備えは②になります。
②の「基幹インフラ役務の安定的な提供の確保」で対象となる事業は,電気等の14事業の「特定社会基盤事業」であり(なお,14業種は,電気,ガス,石油,水道,鉄道,貨物自動車運送,外航貨物,航空,空港,電気通信,放送,郵便,金融,クレジットカードであり,今後,政令で絞り込みがされる予定です。),その中の「特定社会基盤事業者」として指定される事業者が対象となります(法50条1項)。
この特定社会基盤事業者が,特定重要設備の導入等を行う場合,導入等計画書を事前に届け出て(法52条1項),主務大臣の審査を受ける必要があります。
「特定重要設備」とは,「特定社会基盤事業の用に供される設備,機器,装置又はプログラムのうち,特定社会基盤役務を安定的に提供するために重要であり,かつ,我が国の外部から行われる特定社会基盤役務の安定的な提供を妨害する行為の手段として使用されるおそれがあるものとして主務省令で定めるもの」です(法50条1項)。
主務大臣は,審査の結果に基づき,サイバー攻撃等を受けるおそれが大きいと認められる場合,妨害行為を防止するため必要な措置(特定重要設備の導入・維持管理等の内容の変更・中止等)を勧告,命令することができます(法52条6項)。
このように特定社会基盤事業者と指定されると,これまでにない負担を負い,制約を受けることになりますが,重要な社会インフラをになう事業者がシステム上の脆弱性を放置することは絶対に許されません。特に,現在は,中国による台湾侵攻が現実味を増しているなど,我が国を取り巻く情勢のいよいよ緊迫化し,危機が現実化,具体化してきていることから,特定社会基盤事業者において,政府による相当の規制を受けることはやむを得ないものと思われます。したがって,特定社会基盤事業者に指定された事業者は,法の要件に適合した形で事業を展開していく必要があります。
他方,特定社会基盤事業者に指定されない事業者であっても,サイバー攻撃に対する備えをしておかなければなりません。なぜなら,現在はネットワークが網の目のように張り巡らされておりますので,サイバー攻撃を仕掛ける攻撃者は,防御の脆弱な者を突破口として,社会を混乱に陥れようとするからです。ロシアによるウクライナ侵略開始直後,トヨタ自動車の関連会社の部品メーカーが攻撃を受け,結果的にトヨタ自動車がその生産をストップする事態になりましたが,これはサプライチェーン攻撃というサイバー攻撃の一種でした。
その意味で,「特定社会基盤事業者」に指定されるか否かにかかわらず,必ずサイバー攻撃を受けるという前提で,サイバー攻撃に対する備えを十分にしておかなければなりません。
そのような時代になっていることを十分に認識しておく必要があります。
お問い合わせはお電話にて