蟻の一穴

●サイバーセキュリティに関係する法律
ここで、これまでの経緯を振り返ってみようと思います。
サイバーセキュリティについては、下記の「サイバーセキュリティ基本法」と「経済安全保障推進法」の二つの法律が関わっているため、似た計画名や方針名が出てくるので混乱します。
少し整理しました。

「サイバーセキュリティ基本法」（2014年11月成立）	この基本法は情報の自由な流通の確保という基本理念を書いたもので、大企業や官庁へのサイバー攻撃や情報漏洩に対する防止を念頭においたものです。（具体的な戦略は「内閣サイバーセキュリティセンター（NISC）」に委ねられています）。
「経済安全保障推進法」（2022年05月成立）	国際関係の緊張やCOVID-19による社会混乱によって、物資供給網や電力・通信等のインフラに対する不安が広がりました。 このような背景から、上記のサイバーセキュリティ基本法がカバーする範囲にとどまらず、広く経済活動全体への脅威に備えようとしたのが「経済安全保障推進法（※）」です。 ※正式には「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律」。 そしてその第3章にある「基幹インフラ役務の安定的な提供の確保に関する制度」は、基幹インフラの重要設備を外部からの妨害から守るために、指定業者の指定、供給業者の事前審査、勧告や命令をおこないます。

●”社会基盤事業者”とは
ここで二つの法律が対象としている「事業者」の定義をまとめておきます。どちらも同じものを指しているように見えますが、微妙な違いがあります。

「サイバーセキュリティ基本法」の「重要社会基盤事業者」

国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合に国民生活又は経済活動に多大な影響を及ぼすおそれが生ずるものに関する事業を行う者（サイバーセキュリティ基本法　第三条）。 具体的には(1)情報通信、(2)金融、(3)航空、(4)空港、(5)鉄道、(6)電力、(7)ガス、(8)行政、(9)医療、(10)水道、(11)物流、(12)化学、(13)クレジット、(14)石油、(15)港湾の15分野の事業者を指します。 これらの重要社会基盤事業者間の情報共有のために"セプター（CEPTOAR）"という組織を形成しています（現在21団体）[2]。

「経済安全保障推進法」の「特定社会基盤事業者」

国民生活及び経済活動の基盤となる役務であって、その安定的な提供に支障が生じた場合に国家及び国民の安全を損なう事態を生ずるおそれがあるもの（経済安全保障推進法　第五十条） まず基幹インフラとして15の分野を挙げています。 (1)電気、(2)ガス、(3)石油、(4)水道、(5)鉄道、(6)貨物自動車運送、(7)外航貨物、(8)港湾運送（※）、(9)航空、(10)空港、(11)電気通信、(12)放送、(13)郵便、(14)金融、(15)クレジットカード （※）港湾運送は当初、対象分野に含まれていませんでしたが、上記の港湾コンテナターミナル事案が発生したため、2024年に法改正をおこなって追加されました。 その分野の中の「特定社会基盤事業」を政令で指定します。 さらにその基盤事業をおこなっている「特定社会基盤事業者」を指定します（指定基準は省令で定義）。5月13日時点で249社が指定されています。

●取引のかたちを見直す
「経済安全保障推進法」の「基幹インフラ役務の安定的な提供の確保に関する制度」では、これらのサプライチェーン・リスクへの対策として、事業者とそこと取引をしている委託先や供給業者に焦点を絞ります。
基盤事業者のすべての事業や設備が対象となるわけでなく、また取引業者も特定重要設備や重要維持管理に関係する業者に限られます。
これらの事業者・供給業者を登録制にすることが制度の根幹です（図1）。

今回発表された手引きは、事業者における当該ガイドライン等の対策の実施を支援・促進するためのものです。申請書の書き方も指南しています。

●具体的なリスク
今回の手引きには、電力分野のサプライチェーンにおいてどのようなリスクがあるか、図示されています（図2）。
最初の開発・製造の段階から、最後に廃棄するまでのいたるところにリスクがあることがわかります。

具体的な脅威の事例がいろいろな資料の中で示されています。

・取引ソフトウェアのダウンロードで伝染
図3は2023年3月の米国での事例で、先物取引ソフトウェア"X Trader"の開発元がサイバー攻撃を受け、配布するソフトウェアのインストーラーが改ざんされたため、"X Trader"をダウンロードしていた複数企業のシステムに"バックドア"が作られた他、さらにそこから他のソフトウェアのインストーラーにも二次伝搬して、そのソフトウェアの利用先から情報が流出しました[4]。

・コンテナターミナルの停止
図4は2023年7月に発生した港湾コンテナターミナルでの事例です。このサイバー攻撃によって3日間のターミナル操業が停止しました[4]。

・遠隔監視機器が踏み台に
図5は2024年5月に発生した事例で、太陽光発電設備向け遠隔監視機器（約800台）がサイバー攻撃を受け、作成された"バックドア"が不正送金の踏み台として悪用されました[5]。

・医療機関の基幹システムが停止
2022年10月に発生。給食事業者のVPN（仮想プライベートネットワーク）の脆弱性をついて病院ネットワークに侵入され、ランサムウェア感染。基幹システムサーバーの大部分が感染したため、全システムをクリーンインストール。復旧に73日を要した。復旧費用に数億円、診療制限による逸失利益が十数億円。

特定社会基盤事業者の(1)～(15)には「医療」が含まれていません。
電気やガスとは異なり、特定の事業や事業者を挙げることが難しいため、見送られてきたのだろうと推測します[7]。
しかし人の生命にかかわる医療のシステムが停止すれば、社会的な影響は多大なものになります。

●蟻の一穴
共通しているのは、ネットワーク経由で機器を管理しているサーバーがサイバー攻撃にあうと、そのサーバーにつながっている他のシステムに気づかないうちに拡大感染していく点です。どこか1か所でも弱いところがあると、巨大なネットワークが短期間のうちに感染します。それが国の基幹インフラであれば、社会システムの機能が停止してしまう恐れがあるわけです。
さらにネットワーク機器を構成する「半導体」自体にも大きなリスクが潜んでいることがわかってきました[8]。
まさに「蟻の一穴」です。■

[1] 資源エネルギー庁「電力制御システムに関するサプライチェーン・セキュリティ対策の手引き」 https://www.meti.go.jp/press/2025/06/20250603001/20250603001-a.pdf
[2] NISC 重要インフラ セプター 一覧表 https://www.nisc.go.jp/pdf/policy/infra/cc_ceptoar.pdf
[3] 内閣府「経済安全保障推進法における特定社会基盤役務の安定的な提供の確保に関する制度について」（2025.05.13）
https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/infra/doc/infra_setsumeikai.pdf
[4] 第16回 産業サイバーセキュリティ研究会 ワーキンググループ1（制度・技術・標準化）電力サブワーキンググループ（2024.02.01）資料5-1 「電力制御システムにおけるサプライチェーン・リスクに対する対応について」 https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_denryoku/pdf/016_05_01.pdf
[5] 第17回 同上（2024.10.22）資料5-1 「小規模太陽光発電設備のサイバーセキュリティ対策の課題について」 https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_denryoku/pdf/017_05_01.pdf
[6] 大阪急性期・総合医療センター「インシデント調査報告書」（2023年03月28日） https://www.gh.opho.jp/pdf/report_v01.pdf
[7] 柿沼重志「経済安全保障推進法改正案－名古屋港でのサイバー事案を契機とした制度の見直し－」、立法と調査 465号（2024年04月12日） https://www.sangiin.go.jp/japanese/annai/chousa/rippou_chousa/backnumber/2024pdf/20240412021.pdf
[8] 日本経済新聞「経済安全保障　半導体・蓄電池「見るのも嫌なリスク」」（2023年05月31日） https://www.nikkei.com/article/DGXZQOCD2923D0Z20C23A5000000/