【サイバー対処能力強化法】重要電子計算機に対する不正な行為による被害の防止に関する法律に対して企業がとるべき備え
2026年、日本のサイバーセキュリティは大きな転換点を迎えつつあります。
特に注目されているのが、重要インフラや政府機関等を守ることを目的とした
「重要電子計算機に対する不正な行為による被害の防止に関する法律(以下、サイバー対処能力強化法)」の施行・運用の具体化です。
【法律の背景と目的の補足】
この法律は、従来の「攻撃を受けてから対処する」枠組みを超え、サイバー攻撃を未然に防ぐ「能動的サイバー防御(アクティブ・サイバー・ディフェンス)」の実現を目指すものです。
主な柱は以下の通りです:
- 攻撃予兆の把握:重要インフラ(通信、電力、金融等)の通信情報を解析し、攻撃の予兆を早期に検知する。
- 官民の連携強化:政府(サイバー安全保障局(仮称))と民間事業者が情報を共有し、一体となって防御する。
- 踏み台利用の防止:国内サーバーが攻撃の「踏み台」に悪用されることを防ぐため、不審な通信の監視・特定を可能にする。
詳細な取り組みについては、内閣官房の公式サイトもご参照ください。
出典:サイバー安全保障分野における対応能力の強化に向けた取組(内閣官房)
本記事では、この新法が民間企業、とくにサプライチェーン上の企業にどのような影響を及ぼし得るのか、そしてIT担当者が今から検討すべき「現実的かつ効果的な備え」について解説します。
結論:新法の影響は「基幹インフラ」以外にも波及し得る。鍵は「認証の統合」
サイバー対処能力強化法は、条文上は主として電力・金融・通信などの「特別社会基盤事業者」を対象とした枠組みです。しかし、政府資料等では、サプライチェーン全体のセキュリティ水準向上の必要性が示されています。
そのため、特別社会基盤事業者と取引のある企業に対しても、一定水準以上のセキュリティ対策を求める動きが強まることが想定されます。最優先で検討したいのが、「ID管理の徹底と多要素認証(MFA)の導入」です。攻撃の入り口となるID・パスワードの脆弱性を減らすことは、現実的な第一歩といえます。
なぜ今、この対策が重要なのか:攻撃の「深化」と「拡大」
攻撃者は、防御の手厚い大企業そのものだけを狙うのではなく、防御の手薄な関連企業やクラウドサービス(SaaS)のアカウントを「踏み台」として利用する傾向を強めています。
新法の目的の一つに「踏み台利用の防止」がある通り、企業には「自社が攻撃の拠点にならないための管理」が求められます。
攻撃の3ステップ(典型例)
- 侵入(初期潜入):脆弱なパスワードやMFA未設定のSaaSアカウントから不正ログイン。
- 拡大(横展開):盗んだID等で社内ネットワークや取引先との共有環境へアクセスを広げる。
- 発症(実害):データの窃取やランサムウェア実行により、事業停止や信用失墜をもたらす。
具体的な3つの対策ステップ
ステップ1:ID・パスワード管理の「脱・個人依存」
ID管理ツール等を活用し、システムとして管理できる環境を整備します。
特に退職者や異動者のアカウント削除を徹底し、不要な「入り口」を放置しない運用が重要です。
ステップ2:多要素認証(MFA)の積極導入
パスワード以外の「二つ目の鍵」を組み合わせた多要素認証を、重要なシステムから優先的に適用することが推奨されます。
ステップ3:アクセスログの可視化と活用
「誰が・いつ・どのシステムに」アクセスしたかを記録することで、異常なログインを早期に把握できます。
これは、新法の趣旨である「サイバー対処能力(検知・特定能力)の強化」に直結します。
「GMOトラスト・ログイン」による解決:事実ベースの導入メリット
包括的に対応したい企業向けの選択肢が、国内実績豊富なIDaaS「GMOトラスト・ログイン」です。
- 多要素認証の容易な実装:ワンタイムパスワードやデバイス制限により、新法の求める「踏み台防止」に寄与。
- 管理工数の削減:シングルサインオン(SSO)により、従業員の利便性向上と管理者のID一元管理を両立。
- 国内提供の安心感:日本語サポートと国内法制度を踏まえた運用相談が可能。