それ、レプリケーションでよろしく。UDPともども。

1. そもそも「経済安全保障推進法」とは？

従来の安全保障といえば、軍事や防衛が中心でした。しかし、国際情勢が複雑化する現代においては、「経済や先端技術の面から国と国民の安全を守ろう」という思想が必要不可欠です。こうして生まれたのが経済安全保障推進法（正式名称：経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律）です。

この法律は、主に以下の「4つの柱」を中心に構成されています。

• 重要物資の安定供給（半導体や医薬品、重要鉱物などの確保）
• 基幹インフラの安定提供（サイバー攻撃や妨害の防止）★今回の核心
• 先端技術の開発支援（AI、量子、宇宙技術などの官民協力）
• 特許出願の非公開（軍事転用可能な技術の流出防止）

このうち、ITシステムやデータ保護に直結するのが、2つ目の「基幹インフラの安定提供」に関する制度です。

2. なぜ「基幹インフラ」が狙われるのか？

電気、ガス、通信、金融、鉄道、医療といった14の特定社会基盤分野は、万が一停止すれば国民生活や経済活動が完全に麻痺します。

近年、これらを狙った国家背景を持つとされるサイバー攻撃や、身代金要求型の「ランサムウェア」の脅威が急激に高まっています。一企業がサイバー攻撃の被害に遭うことが、社会全体のサプライチェーンをストップさせる引き金になり得る時代なのです。

そのため、政府は対象となるインフラ事業者に対し、重要なシステムを導入・委託する際の事前審査や、平時からの厳格な「リスク管理措置」を求めています。

3. 【核心】内閣府の資料に明記された「第11項」

具体的にどのような対策が国から求められているのでしょうか。 内閣府が公開している公式資料『特定社会基盤役務の安定的な提供の確保に関する制度の解説』を開くと、事業者が自ら整備すべきリスク管理措置の基準として、以下の一文が明確に刻まれています。

⑪ 特定社会基盤事業者は、ランサムウェアに感染した場合等の特定重要設備に対する不正な妨害が行われたときであっても役務の提供が継続できる体制（バックアップの取得・隔離管理、復旧手順の明確化・具体化、代替設備との交換等）について、自ら整備している。

 ここで注目すべきは、国が単に「セキュリティを強化しろ」と言うだけでなく、「バックアップ」および「隔離管理」という具体的な手法にまで踏み込んで指定している点です。

4. 国が求める「隔離管理」と「役務継続」の本質

この第11項の規定から、私たちは現代のデータ保護における2つの重要なトレンドを読み解くことができます。

• 「隔離管理（エアギャップ／イミュータブル）」の必須化 近年のランサムウェアは、まず「バックアップデータ」を狙って暗号化・破壊し、企業が自力で復旧できないように追い込んできます。そのため、本番環境と同一のネットワークに置かれたバックアップは無意味です。法律の解説が求めるのは、本番環境から論理的・物理的に切り離された「隔離環境」での管理や、書き換えが不可能な「不変性（イミュータブル）」の実装です。
• 目的はデータ保護ではなく「役務の提供の継続（レジリエンス）」 単に「データが残っている」だけでは不十分です。「妨害が行われたときであってもサービスを止めない、あるいは即座に再開できる」というサイバーレジリエンス（回復力）が求められています。だからこそ、資料内には「復旧手順の明確化・具体化」という実効性の担保までがセットで要求されているのです。

まとめ：バックアップは「最後の砦」から「コンプライアンスの基盤」へ

これからの時代、バックアップは単なる「IT障害に備えた保険」に留まりません。経済安全保障という国家レベルの要件を満たし、企業の継続性を証明するための「必須のコンプライアンス要件」へと昇華しました。

インフラ事業者や、そのサプライチェーンを支えるすべての企業において、自社のバックアップ体制が「第11項」が定める隔離管理と具体的な復旧体制を満たしているか、今すぐ見直す必要があります。

【参考情報】

• 出典： 内閣府「特定社会基盤役務の安定的な提供の確保に関する制度の解説」
• 該当箇所： 全体 P.76（第２部：リスク管理措置の解説 P.14「⑪」）
• URL： https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/infra/doc/infra_kaisetsu.pdf

+++

以上、Koichiがお伝えしました。