日本的網路安全正從「防禦」轉向「進攻」。 2025年12月23日,日本政府在內閣會議上批准了基於《網路應對能力強化法》的基本政策,並將於2026年開始全面實施。這標誌著保護包括電力、通訊和金融在內的日常生活核心基礎設施的新框架的開始。
2025年12月23日,內閣府批准了一項基於《網路應對能力強化法》(防止針對關鍵電腦系統的非法活動造成損害法)的基本政策。該法案以2022年12月16日內閣批准的《國家安全戰略》為基礎,旨在將日本在網路安全領域的應對能力提升至與歐美主要國家持平或更高的水平。
一個旨在提升網路安全領域應變能力的專家小組於2024年6月7日開始召開會議,並於同年11月29日彙整了其建議。該法案於2025年2月7日獲得內閣批准。經國會審議,該法案於同年5月16日獲得通過,並於5月23日正式頒布。該法旨在加強公私合作,引入與通訊資訊使用相關的系統,並防止針對關鍵電腦的未經授權行為造成的損害。
從: 
網路安全
【社論】
這項內閣批准的基本政策標誌著日本網路安全政策的歷史性轉捩點。隨著《網路應急能力強化法》(將於2025年5月頒布)的具體實施細則的製定,相關準備工作將正式啟動,以期在2026年正式實施。
這項法律旨在向「主動網路防禦」轉型。傳統上,日本專注於“被動防禦”,即利用防火牆和防毒軟體來阻止攻擊。這可以被視為“防禦性安全”,在攻擊發生後才做出反應。然而,隨著由國家支持的複雜網路攻擊日益增多,「進攻性安全」(即檢測攻擊跡象並在攻擊發生前將其消除)變得至關重要。
具體而言,電力、電信、金融等核心基礎設施營運商在引入關鍵系統時,必須通知政府;遭受網路攻擊時,也必須向政府報告。這將有助於政府掌握攻擊的全貌,迅速向其他業者發出警告,並為應對措施提供支援。
該法律最顯著的特點在於,它允許政府在特定條件下獲取和分析通訊資訊。這被認為是提高攻擊伺服器偵測準確性、防止損害擴散的必要措施,但如何在保障通訊保密性和隱私性之間取得平衡卻是一項挑戰。因此,需要由獨立機構-網路與通訊資訊監管委員會進行事先審查與持續檢查。
類似的系統已在一些西方主要國家得到應用,例如美國的《外國情報監視法》、英國的《調查權法》和德國的《聯邦情報局法》。從國際網路安全合作的角度來看,人們也期望日本具備同等的應對能力。
展望未來,核心基礎設施營運商需要加強安全投入,並與政府建立資訊共享機制。另一方面,提供政府的威脅資訊和最佳實踐,也有助於提升企業抵禦高階攻擊的能力,而這些攻擊對企業本身而言,僅靠自身力量難以應對。
距離法律生效還有大約一年的準備時間,期間將制定部級條例和操作指南。建立一個融合公共和私營部門的網路安全體系,將是數位社會安全發展的重要基礎。
[術語]
主動網路防禦<br>與傳統的「被動防禦」(即在攻擊發生後才做出反應)不同,主動網路防禦是一種提前檢測攻擊跡象並在攻擊發生前將其消除的防禦方法。這還包括訪問攻擊者的伺服器並採取措施使其失效。
關鍵計算機<br>這指的是國家政府機構、地方政府、核心基礎設施運營商等使用的計算機,如果其網路安全受到損害,可能會對國家及其人民的安全以及經濟活動產生重大影響。
特定關鍵電腦<br>在核心基礎設施營運商營運的關鍵電腦中,以下電腦由政府法令指定為特別重要。它們須遵守通知和事件報告義務。
特殊社會基礎設施提供者<br>任何提供構成社會基礎的基礎設施的企業,例如電力、通訊、金融和交通運輸。在本法中,正式名稱為“特殊社會基礎設施提供者”,指的是《經濟安全促進法》中規定的特定社會基礎設施提供者。
通訊保密性<br>這是憲法第21條和電信業務法保護的權利,保護通訊內容、接收者、日期和時間等資訊。該法允許在特殊情況下,按照嚴格的程序獲取此類資訊。
網路與通訊資訊監理委員會<br>是一個獨立的機構,負責監督通訊資訊的取得與使用。它進行初步篩選和持續檢查,以監控通訊的保密性和隱私性是否得到妥善保護。
[參考連結]
內閣辦公室網路安全計畫(外部)
這是官方政府網站,其中包含《網路回應能力強化法》的基本指南、專家會議資料、法律條文等。
內閣秘書處網路安全倡議(對外)
內閣秘書處官方網站對政府為實現積極的網路防禦所做的整體努力進行了通俗易懂的解釋。
眾議院關於防止重要電腦上未經授權活動造成損害的法案(外部)
您可以造訪國會官方網站查看該法案的全文,該法案的正式名稱為《網路應對能力強化法》。
電子化政府法律搜尋(外部連結)
網路安全應對能力強化法及相關法律的最新規定可在政府官方網站上查閱,該網站可以搜尋和查看日本的法律法規。
[參考影片]
由內閣府製作的官方視頻,解釋了《網路反應能力強化法》的概要、目的和具體措施。
[參考文章]
日本的網路防禦進入新階段:相關立法的通過使其從「被動」轉變為「主動」 (對外)防禦。
本書詳細解釋了主動網路防禦的概念及其與傳統被動防禦的區別,包括法律制定的背景和國際比較。
《網路應變能力增強法案》的頒布-主動網路防禦(外部)
日興研究所的這篇分析文章從專家的角度探討了該法律的建立歷史、主要係統內容以及未來面臨的挑戰。
【第五部分】《主動網路防禦》相關法律頒布後,關鍵基礎設施營運商需要承擔哪些責任(外部連結)
普華永道的這一系列文章對核心基礎設施營運商的具體影響以及他們應該做的準備工作提供了切實可行的解釋。
主動網路防禦-網路反應能力強化法案及其發展法案的引入- (外部)
這份由參議院研究辦公室編寫的立法研究文件全面總結了該法案的詳細內容、關鍵問題以及與其他國家製度的比較。
《主動網路防禦法案》對關鍵基礎設施提供者的影響(外部)
野村綜合研究所的一份分析報告詳細闡述了核心基礎設施營運商面臨的具體義務和應對措施。
[編者註]
我們究竟在多大程度上意識到,支撐我們日常生活的基礎設施,例如電力、通訊和金融,都面臨著隱形網路攻擊的威脅?
這項基本政策的決定標誌著日本網路安全戰略的轉捩點,使其從防禦型策略轉向進攻型策略。然而,如何在加強安全與保護隱私之間取得平衡,無疑是持續存在的問題。
您所在的公司以及您使用的服務也可能受到這項法律的影響。我希望我們能共同思考如何在「安全」和「自由」之間取得平衡。您對此有何看法?
