ITセキュリティ法2.0

掲載:2023年09月01日

用語集

2021年5月18日、ドイツで「ITセキュリティ法2.0(情報技術システムのセキュリティを高めるための第2法)」が施行されました。本法は重要インフラへのサイバー攻撃が増加傾向にあることや、第5世代移動通信システム(5G)の本格的普及をきっかけとした、重要インフラのITセキュリティ対策を強化するための改正です。

「ITセキュリティ法2.0」の具体的な改正としては、連邦情報セキュリティ庁(BSI)の機能強化があります。

ハッカーの攻撃や重要インフラの脆弱性を見つけるパトロールや、政府のネットワーク防御におけるマルウェア検出のための権限などが付与されました。また、通信事業者のサービスに問題があった場合には、改善命令も出せるようになっています。

さらに注目すべきは、重要インフラにかかわる重要部品の使用開始に事前届け出制が導入されたことです。自国の公共の秩序や安全が損なわれる可能性がある場合には、使用を禁止する命令を発することが可能になりました。

重要部品についての信頼性、たとえば、重要部品が重要インフラセキュリティ・機能性を阻害する技術的特有を有さないことに対して、製造業者が保証した宣言を添付し通知することが必要であり、また、審査においては、以下の点の考慮が求められています。

  • 製造者が第三国政府(その他の政府機関や軍隊を含む)に直接または間接的に支配されていないこと。
  • 製造者が自国、EU、NATO等の加盟国・機関の公序良俗や治安に悪影響を及ぼす活動を行っていないこと。
  • 重要部品の使用が、自国、EU、NATOの安全保障政策の目的に合致していること。

日本国内への影響もあります。2022年5月に成立した「経済安全保障推進法」は取り組むべき分野として 4 本の柱で構成されています。その1本が「基幹インフラの安全性・信頼性の確保」です。その有識者会議において海外事例として取り上げられたのが、米国の「ICTSの販売・利用制限に係る大統領令」と、ドイツの「ITセキュリティ法2.0」です。

世界各国で重要インフラ機能へのサイバー攻撃が増加の一途をたどっています。日本においても、国主導で重要インフラの脆弱性を点検する仕組みをつくり、潜在的なリスクを排除するなど、社会基盤のさらなる安全性確保が急がれています。