現行法改正ではなく別途新規で制定する理由とは
サイバー安全保障を確保する為、能動的サイバー防御等に係る態勢の整備を推進する法整備が進められている。
能動的サイバー防御措置とは、外部からのサイバー攻撃について、被害発生前の段階から兆候を探知・特定し、必要な排除措置を講じる事で、攻撃の発生や被害の拡大を防ぐ仕組みである。従来のサイバー対策は、被害が発生してから調査を行い、サーバー停止等の措置を講じる事が中心であった。その為、結果的に攻撃者の後手に回る場面も少なくなかった。今回の法整備は、こうした事後対応の限界を踏まえ、被害を未然に防ぐ態勢を整える点に大きな意義が有る。
サイバー攻撃は目に見えない形で発生する攻撃である為、例えば自衛隊が出動したり、パトカーや消防車が出動したりする様な事は無い。目前では惨劇が起きる訳でもない。だが、実際には目に見えない形でサイバー攻撃、もしくはサイバーテロは頻繁に発生している。
攻撃の主要な目的は、金銭を得る事、知的財産を盗み取る事、企業に損害を与える事、自己承認欲求を満たす事等様々だ。中には政治的な目的や軍事的な目的を疑う事例も有る。警察庁の発表では、サイバー犯罪の2024年の検挙数は13164件に上る。又、25年の警察白書によると、24年に警察庁内のシステムに於いて検知した、1つのセンサーに対する不審なアクセスの件数は1日当たり9520件で、この5年間で3000件以上増加している。
加えて、攻撃の手口も多様化している。典型例として“トロイの木馬”や“ワーム”等のマルウェアを使用し、感染先を不正に作動させるといった手口が挙げられる。中でも感染先のデバイスの保有者に金銭を要求するタイプはランサムウェアと呼ばれ、近年増加傾向にある。
その他にも、大量のアクセスによりサーバーへ負荷を掛け機能停止に追い込むDoS攻撃、データベースを操作する為のプログラミング言語「SQL文」を悪用してシステムを不正に操作するSQLインジェクション、ネットワークに侵入・潜伏して継続的に行われるAPT攻撃、コンピューターに処理能力を超える大量のデータを送信して誤動作を起こさせ、乗っ取る等するバッファオーバーフロー攻撃、セッションを乗っ取り通信当事者になりすますセッションハイジャック、別のサイバー攻撃等で不正に流出しリスト化されたIDやパスワードを利用して不正ログインを行うリスト型攻撃等が有る。
多数の医療機関から情報流出、事後処理も重荷に
これ迄に多くの医療機関がサイバー攻撃の標的とされてきた。18年に奈良県の宇陀市立病院がランサムウェア感染により電子カルテが利用出来なくなった。21年、徳島県つるぎ町立半田病院の院内ネットワークがランサムウェアに感染し電子カルテと会計システムが使えなくなり、新規外来の受付を停止する等混乱を招いた。22年、徳島県の鳴門山上病院がランサムウェアによる攻撃を受け、攻撃グループ側サイトには盗み出したと見られる患者情報の一部が掲載されて情報流出の懸念が報じられた。同じく22年には大阪急性期・総合医療センターでランサムウェア攻撃の被害に遭い、電子カルテ等が暗号化され外来診療や各種検査を停止する事態となった。更に今年2月には、神奈川県の日本医科大学武蔵小杉病院でナースコールシステムのサーバーがランサムウェア攻撃を受け、患者約1万人分の氏名や診察券番号などの個人情報が漏洩し約150億円相当の身代金を要求された。その他にも多くの医療機関がサイバー攻撃によって被害を受けている。
サイバー攻撃を受けると事後処理も大きな負担となる。具体的には、調査費用、復旧費用、顧客へのお詫び費用、新規のセキュリティ導入費用、裁判費用等である。顧客からの信頼低下は地道な努力で回復していくしか無く、ブランド価値の毀損は金銭的被害以上に大きな損失であるとも言える。
インターネット空間に於ける安全の保持に係る法規定は、これ迄全く無かった訳では無い。
15年にサイバーセキュリティ基本法が施行され、サイバーセキュリティに関する基本理念等が定められた。同法に基づき内閣にサイバーセキュリティ戦略本部が設置され、その事務局として内閣サイバーセキュリティセンター(NISC)が内閣官房に置かれ、政府全体のサイバーセキュリティ政策の総合調整を担ってきた。併せて、不正通信の監視や原因究明調査の対象が独立行政法人や特殊法人等にも拡大された。18年の平昌冬季五輪では大会関連システムを狙った多数のサイバー攻撃が確認された。20年東京五輪に向け、19年にサイバーセキュリティ協議会を創設する事で国の行政機関、重要インフラ事業者、サイバー関連事業者等が参加する官民の情報共有体制が整備された。
その後もNISCや関係省庁、警察はサイバー攻撃事案の発生を想定した重要インフラ事業者等との共同対処訓練を重ねてきた。22年には警察との連携強化を目的とした訓練を自治体、電力事業者、金融機関等の幅広い分野の事業者と約600回開催する等官民連携による実践的取組が進められている。又、警察はサイバー攻撃事案で使用された不正プログラムの解析等を通じてC2サーバー(感染した端末やサーバーを遠隔操作するために攻撃者が用いる指令・制御用サーバー)として機能していた国内サーバーを把握し、不正機能を停止する様管理事業者等に要請する事で被害拡大の防止にも取り組んできた。
サイバー攻撃の高度化・複雑化や経済安全保障を含む政策環境の変化を背景に、政府内の司令塔機能の一層の強化が求められる様になり、25年5月にサイバー対処能力強化法等が成立した。これを受けてNISCは国家サイバー統括室(NCO)へと改組され、サイバーセキュリティ戦略本部の事務局機能に加え行政各部の情報システムに対する不正な活動の監視・分析、政府機関の情報セキュリティ対策基準の策定、重要インフラ対策や官民連携、国際連携の調整等を担う司令塔として、横断的な政策調整・統括機能を果たす体制へ移行している。
理念中心の基本法では実効性に限界が有る
政府のサイバーセキュリティ戦略では「情報の自由な流通の確保」、「法の支配」、「開放性」、「自律性」、「多様な主体の連携」の5原則が掲げられている。又、「経済社会の活力の向上及び持続的発展」「国民が安全で安心して暮らせる社会の実現」「国際社会の平和・安定及び我が国の安全保障」に寄与する事を目標としている事も明示されてきた。これ迄はサイバーセキュリティ基本法の改正によって対応してきたにも拘わらず、今回は何故、新法が必要とされるのか。それは、この基本法が基本理念中心の法律で、事業者や個人が具体策を講じる為の枠組みとしては限界が有るからである。この為、より実効性の有る対策を推進する法律が求められている。
現在国会で審議中の新法は、サイバーセキュリティ基本法の内容を含むサイバーセキュリティに関する法規定の再構築を図るものとなっている。能動的サイバー防御措置の実施に必要な法制の速やかな整備、サイバー安全保障を確保する措置の実施に必要な行政組織の整備、セキュリティクリアランスを受けた人材の確保、重要社会基盤事業者に対する支援・サイバー攻撃を受けた者に対する相談体制の整備等、能動的サイバー防御措置の実施に資する情報通信技術等に関する調査・研究開発の推進、能動的サイバー防御措置に関する国民の理解・関心の増進、能動的サイバー防御に関する国際協力の推進等が基本的施策となっている。
北朝鮮と関連が有ると見られるハッカー集団が韓国の裁判所の内部ネットワークに侵入している他、戦闘が続くロシアとウクライナの間でもサイバー攻撃が活発化しているという。又、国民の9割が利用しているとされるLINEは度々情報漏洩事故を起こしている事から、国産化を待望する声も有る。
サイバーセキュリティ問題は、国民生活と密接に関係している。目に見え難い脅威を軽んじず、社会全体で備える態勢を整える事が求められている。
LEAVE A REPLY