基幹インフラ事業者にサイバー攻撃報告義務を命令

2026年5月30日 最終更新日時 : 2026年6月1日 admin138io
138DATA
この記事は、元記事の内容に基づいてAIが生成・再構成したニュース要約です。一般読者にも伝わりやすい形で読みやすく編集しています。

サイバー攻撃の報告が「任意」から「義務」へ。基幹インフラに求められる新しい備え

サイバー攻撃は、もはや一部の企業だけが気をつければよい問題ではなくなっています。

電気、ガス、水道、鉄道、通信、金融など、私たちの生活を支えるサービスが攻撃を受ければ、その影響は一企業の中だけにとどまりません。システムの停止や情報の流出だけでなく、社会全体の安心や日常生活にも関わってきます。

そうした中で、国家サイバー統括室(NCO)は5月28日、基幹インフラ事業者に対するサイバー攻撃の報告義務などを定める命令の公布について発表しました。

これは、いわゆる「能動的サイバー防御」の実現に向けた法的な枠組みの一部です。企業が攻撃を受けたときに、ただ社内で対応するだけでなく、国としても状況を把握し、被害の拡大を防ぐための仕組みづくりが進んでいることを示しています。

対象になるのは、社会の土台を支える事業者

今回の命令で対象となるのは、基幹インフラを支える特別社会基盤事業者です。

具体的には、電気、ガス、水道などのエネルギー事業、鉄道、空港、港湾などの運輸・運送事業、電気通信、放送、金融、クレジットカード事業など、社会生活に大きな影響を与える主要な事業者が含まれます。

これらの事業者は、普段は利用者から見えにくいところで社会を支えています。しかし、ひとたび障害や攻撃が起これば、多くの人の生活や企業活動に影響が及ぶ可能性があります。

だからこそ、国はこうした事業者に対して、サイバー攻撃を受けた場合や、その痕跡を見つけた場合の報告を求める方向へ進んでいます。

攻撃を受けた後の「報告の速さ」が重要になる

今回の命令で注目すべき点は、サイバー攻撃を受けた場合だけでなく、攻撃の痕跡を発見した場合にも報告が求められることです。

サイバー攻撃は、発生した瞬間にすべてが分かるとは限りません。最初は小さな異常に見えても、調べていくうちに外部からの侵入や不正アクセスの可能性が見つかることがあります。

そのような段階で情報が止まってしまうと、同じ攻撃が他の事業者にも広がっているのか、社会全体にどのような影響があるのかを把握しにくくなります。

命令では、不正アクセスなどのサイバー攻撃を受けた際や、攻撃の痕跡を発見した際には、速やかに所管の大臣および内閣総理大臣へ報告し、さらに30日以内に詳細な報告書を提出することなどが定められています。

これは、企業にとって単なる事務手続きではありません。攻撃を早期に共有し、被害の拡大を防ぐための重要な仕組みです。

システム更新や機器導入も、管理対象になる

もう一つ見逃せないのが、ネットワーク機器やサーバーなどを導入したり、システムを更新したりした際の届け出です。

命令では、基幹インフラ事業者がネットワークを構成する機器やサーバーを導入した場合、またはシステムを更新した場合には、4カ月以内に所管の大臣へ届け出ることも定められています。

これは、攻撃が起きた後だけでなく、平時から重要なシステムの状態を把握しておく考え方だといえます。

どのような設備が使われているのか。どのシステムが社会に大きな影響を持つのか。更新によってリスクが変化していないか。こうした情報を整理しておくことは、インシデント発生時の対応にもつながります。

サイバー防御は、攻撃を受けてから始めるものではありません。日ごろから重要な設備やシステムを把握し、変化を管理しておくことが、被害を小さくするための土台になります。

能動的サイバー防御とは、国と事業者が情報をつなぐ仕組みでもある

「能動的サイバー防御」という言葉だけを聞くと、攻撃に対して強く反撃するような印象を持つ人もいるかもしれません。

しかし、今回の命令から見えてくるのは、まず重要インフラで起きているサイバー攻撃の情報を早く集め、被害の広がりを把握しやすくするという現実的な取り組みです。

サイバー攻撃は、ひとつの会社だけを狙っているとは限りません。同じ手口が複数の業界に広がることもあります。ある事業者で見つかった攻撃の痕跡が、別の事業者にとっても重要な警戒情報になる場合があります。

その意味で、報告義務は「国に知らせるためだけ」の制度ではありません。社会全体で攻撃の兆候を共有し、次の被害を防ぐための仕組みと見ることもできます。

企業に求められるのは、起きた後に説明できる体制

このような制度が進むと、基幹インフラ事業者には、サイバー攻撃を防ぐ力だけでなく、起きた後に説明できる体制が求められます。

いつ異常を検知したのか。どのシステムに影響があったのか。被害の範囲はどこまでか。どの部署が判断し、誰が報告するのか。30日以内に詳細な報告書をまとめるには、平時から記録や連絡の流れを整えておく必要があります。

これは、対象となる大規模事業者だけの問題ではありません。

基幹インフラを支える企業には、多くの取引先や委託先が関わっています。今後は、直接の対象事業者だけでなく、その周辺にいる企業にも、セキュリティ体制や報告体制の確認が求められる場面が増える可能性があります。

サイバー攻撃への備えは、技術部門だけで完結するものではなくなっています。経営、法務、広報、現場、取引先との連携まで含めて、会社全体で考える必要があります。

まとめ

今回の命令は、基幹インフラ事業者に対して、サイバー攻撃を受けた際の報告義務などを定めるものです。

重要なのは、攻撃を受けた後の対応が、これまで以上に制度として明確になってきたことです。攻撃の痕跡を見つけた段階で報告し、一定期間内に詳細な報告書を提出する。さらに、重要な機器やシステムの導入・更新についても届け出が求められるようになります。

これは、サイバー攻撃を企業単位の問題として閉じ込めるのではなく、社会全体のリスクとして早く把握し、被害の拡大を防ぐための動きです。

防ぐだけでなく、気づき、報告し、共有し、立て直す。基幹インフラを守るためのサイバー対策は、より実務的で、より組織的な段階に入っていると言えそうです。

出典: INTERNET Watch - 能動的サイバー防御に向け、基幹インフラ事業者にサイバー攻撃の報告義務などの命令
カテゴリー
データ復旧コラム
タグ
前の記事
ランサムウエア感染経路の8割超が外部公開資産、ASMで防御へ
2026年5月29日
次の記事
SCS評価制度、経営層の関与でレジリエンス強化を要求
2026年5月31日