■経済安全保障推進法:基幹インフラを守る脆弱性診断の重要性

2025年7月21日 最終更新日時 : 2025年7月30日 KobayashiShinobu

■安全保障とは軍事だけではない ~ 「経済安全保障」時代へ

現代の安全保障は、もはや軍事力だけで国を守るものではありません。経済活動の複雑化、グローバルサプライチェーンの拡大、そしてサイバー空間における新たな脅威により、国家や国民への脅威は経済的手段を通じて現れることが増えています。こうした背景から、日本では2022年に「経済安全保障推進法」が制定され、国家の安定と繁栄を支える枠組みとして注目を集めています。

この法律は、特に「基幹インフラ役務の安定的な提供」を目的のひとつに掲げ、重要な施策として「脆弱性診断」の実施を強く推奨しています。

■経済安全保障推進法の概要と制定背景

経済安全保障推進法(令和4年法律第43号)は、国家の安全を脅かす経済的行為を未然に防ぐことを目的としています。その核心にあるのは以下の三つのポイントです:

1、重要物資の安定供給

2、技術流出の防止

3、経済的威圧(Economic Coercion)への対抗

この法制定の背景には、以下のような国際的・国内的な課題があります:

米中対立の激化:技術覇権をめぐる争いが経済安全保障に影響。

サプライチェーンの脆弱性:半導体不足や技術流出により、国家の戦略物資の安定確保が喫緊の課題に。

経済的威圧への備え:中国によるオーストラリア産品への輸入制限など、経済を外交手段とするケースが増加。

国際的な政策動向:米国のCHIPS法やEUのサプライチェーン政策など、各国が経済安全保障を強化。

これらを受けて、日本も「経済活動に関して行われる国家及び国民の安全を害する行為の未然防止」に取り組む必要に迫られたのです。

■基幹インフラ役務の安定的提供制度とは

2024年5月に施行された「基幹インフラ役務の安定的な提供確保制度」は、経済安全保障推進法の中心的な柱の一つです。この制度の対象は、電気・ガス・水道・交通・通信・金融など15分野におよぶ「特定社会基盤事業者」と呼ばれる企業で、政府によりその社会的影響力が大きいと認定された事業者です。

これらの企業は、新たに「特定重要設備」を導入する際、事前に政府へ届け出て、審査を受ける義務があります。届け出内容には、設備の供給元やセキュリティ対策の状況など、極めて多岐にわたる情報が含まれます。

特に重要なのが、「リスク管理措置の実施状況」に関する情報です。ここでいうリスク管理には、サイバーセキュリティ上の安全性を確保するための「脆弱性診断」の実施が必須とされています。

■サイバーセキュリティ強化の要:脆弱性診断の役割

基幹インフラの安定供給を支える設備やシステムは、標的型攻撃やサプライチェーン攻撃などのサイバー脅威に晒されています。これに対応するため、脆弱性診断を中心としたリスク管理措置が制度的に求められています。

その中には以下のような施策が含まれます:

導入機器の脆弱性診断の実施

サプライヤーによる品質保証体制の確立

セキュリティパッチの適用・不正プログラム対策

アクセス制御や監視システムの導入

サービス保証や故障対応の確保

このような対策を講じることで、基幹インフラに対するサイバー攻撃のリスクを事前に軽減し、万が一の被害を最小化することが可能となります。

SIer・ベンダーの責任と協力体制

脆弱性診断の実施には、インフラ設備の供給元であるSIer(システムインテグレーター)やベンダーの協力が不可欠です。彼らは、次のような重要情報の提供を義務づけられる場合があります:

脆弱性診断報告書の提出

ソフトウェア部品表(SBOM)の提供

これは単に法律上の要請にとどまらず、自社の製品やサービスが安全であることを示す「信頼の証明」でもあります。今後は、省令やガイドラインの整備を通じて、脆弱性診断の提出がさらに幅広い事業者に求められる見込みです。

実例:電力会社向け脆弱性診断の取り組み

ある中堅SIerは、大手電力会社向けに構築したシステムについて、納品前に脆弱性診断の実施と報告書提出を求められました。診断対象は、同社が構築したLAN環境で、VPNを通じた接続により外部から診断を実施。

診断では、以下の調査が中心となりました:

ポートスキャンによる不要なポートの検出

公知のCVE(共通脆弱性識別子)に基づく脆弱性チェック

その結果、診断によって指摘された項目に対して、ポート閉鎖やファームウェアアップデートといった具体的な対策が講じられ、システムの堅牢性を高めることができました。この取り組みをきっかけに、当該SIerは同様の脆弱性診断業務を他プロジェクトでも継続的に受注しています。

インフラを守る「免疫システム」としての脆弱性診断

脆弱性診断は、いわば基幹インフラという“国家の免疫システム”を構成する「健康診断」です。一つひとつの設備やシステムが健全であることで、全体としての安全性が保たれ、外部からのサイバー攻撃という“病原体”に対して強固な防御が可能になります。

今後、脆弱性診断は基幹インフラ事業における不可欠なプロセスとして、法制度の枠を超えて企業競争力の要素となっていくでしょう。安全性を担保することは、信頼を得ること。信頼は、ビジネスを継続・拡大させるための基盤です。

■まとめ:企業が担う未来の安全保障

経済安全保障の観点から見ても、脆弱性診断は単なる義務ではなく、社会的責任の遂行であり、国家全体の強靭性を高めるための基盤となります。SIerやベンダーを含むサプライチェーン全体が協力し、基幹インフラの健全性を守ることこそ、未来の経済と安全を支える重要な一歩です。

前の記事
■「ASM・レコナイ診断」「脆弱性診断」:それぞれの違いと重要性
2025年7月18日
次の記事
「ポートスキャンってなんですか?」 ─ ネットワークの戸締まりを確認する技術
2025年7月25日