電気通信事業者のサイバー攻撃に関する法律改正を解説

電気通信事業法改正

2018年5月の電気通信事業法改正がされました。

これは、DDoS攻撃のサイバー攻撃による大規模な通信障害が発生しており、 今後インターネットに接続される IoT 機器が著しく増加するに伴い、これらを悪用したサイバー攻撃の増加が懸念されること及び東京オリンピック・パラリンピック開催時に日本がサイバー攻撃の標的となる可能性が高まることに鑑み、サイバー攻撃によるインターネットにおける通信障害の防止に向けた体制整備を行ったものです。

なお、DDoS攻撃とは、多数のマルウェアに感染した端末が、当該マルウェア感染端末に攻撃者からの指令を送り制御を行うC&Cサーバからの指令を受けて、標的に対して一斉に通信を送信することにより標的に大量の通信を集中させ、又は標的となる通信設備の機能を低下させる通信を送信する攻撃をいいます。

そこで、2018年改正により、電気通信事業者間のサイバー攻撃に対処するための必要な情報共有のため、当該情報共有の結節点となる第三者機関 (認定送信型対電気通信設備サイバー攻撃対処協会)を総務大臣が認定する制度が設けられました。

認定送信型対電気通信設備サイバー攻撃対処協会は、特定会員である電気通信事業者又は、その利用者の電気通信設備がサイバー攻撃の送信先であることが特定された場合において、特定会員がその業務上記録している通信履歴を証拠として、以下を行い、その成果の普及を行います。

• サイバー攻撃の送信元である電気通信事業者に対して対処を求める通知
• サイバー攻撃の送信元である電気通信設備を特定するための調査及び研究

なお、「インターネットの安定的な運用に関する協議会」も、2018年 11 月に「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関す るガイドライン(第5版)」を公表しています。

端末設備等規則の改正

2019年には端末設備等規則も改正され、イ ンターネットに直接接続される IoT機器等の技術基準にセキュリティ対策が追加されています。

IoT 機器の活用が幾何学的に増加する状況に対応した重要な改正です。電気通信回線に接続されている対象機器(ルータや一定のウェブカメラ等が想定されている。)について、1アクセス制御機能、2初期設定のパスワードを変更できるあるいは変更を促す機能、3ファームウェアの更新機能の3つの機能を具体化することを求めています。

NICT による注意喚起制度

国立研究開発法人情報通信研究機構法も、2018 年に電気通信事業法と同時に改正され、電気通信事業者によるパスワード設定等に不備がある電気通信設備の利用者への注意喚起を促すため、5年間の時限措置として、国立研究開発法人情報通信研究機構(NICT)の業務に、当該電気通信設備の調査及び当該電気通信設備に係る電気通信事業者への対処を求める通知が追加されています。

電気通信事業法等の改正を踏まえて、総務省、NICT 及びインターネットプロバイダが連携して、サーバ攻撃に悪用されるおそれのある IoT機器の調査及び当該機器の利用者への注意喚起を行う取組みである 「NOTICE(National Operation Towards IoT Clean Environment) ]” 制度の運用が行われています。

Tweet