2026年5月1日、赤澤経済産業大臣が電力やガスなど重要インフラを担う企業24社のトップを省内に呼び集めた。議題は一つ——高性能AIを使ったサイバー攻撃への対応を、今すぐ始めよ、だ。電力分野の企業には「1か月以内に報告せよ」という期限まで切られた。
大臣が直接招集、期限1か月——「なぜ今か」の背景
通常、経済産業省が業界団体に何かを求める場合、窓口は担当の官僚だ。大臣が直接、複数業界のトップを一堂に招集して指示を出すことは、まずない。
赤澤亮正経済産業大臣は電気事業連合会・日本ガス協会など、電力・ガス・石油・化学・クレジットの5分野から代表24社を集めた。これらはいずれも「重要インフラ」——電気・ガス・水道のように、止まれば社会全体が直接困るサービス——を担う事業者だ。
大臣が直接動いた理由として経産省が挙げたのは、「高性能AIが攻撃者の手に渡り、サイバー攻撃の危険性が急速に高まっている」という認識だった。
この日、電力分野の企業には具体的な期限が付いた。自社のコンピューターやネットワーク機器の管理状況を「1か月以内」に報告するよう求められた。
経産省が「高性能AI」を今すぐ危険視する理由
ITセキュリティの専門機関である情報処理推進機構(IPA)が毎年まとめる「情報セキュリティ10大脅威」の2026年版で、AIを悪用した攻撃が初めてランクインし、3位となった。政府がこれを「今年中に対応しなければならない理由」の根拠として挙げる背景だ。
4月には上場企業のはてな社が、精巧に作られた「なりすましメール」で財務担当者を欺かれ、最大約11億円を不正送金される被害を受けた。ITシステムを壊すのではなく、人を騙す手口——こうした攻撃は、AIが文面の作成を担うことで格段に精度が上がっている。
AIはファイアウォールを自動で突破できる
「ファイアウォール」とは、外部からの不正アクセスを遮断する門番のようなシステムだ。以前の攻撃者はその弱点を手作業で探し、数週間かけることも珍しくなかった。
高性能なAIは同じ作業を、数秒でこなす。
侵入に成功した後に多用されるのが「ランサムウェア」——システムのデータを暗号化してすべて読めなくし、復元と引き換えに身代金を要求するソフトウェアだ。病院の電子カルテや電力会社の制御システムが標的になれば、業務そのものが止まる。AIは弱点の発見を自動化するだけでなく、ランサムウェアが侵入後に検知されにくいよう挙動を変化させることにも使われ始めている。
守る側が「自社にどんなコンピューターが何台あるか」すら把握できていない間に、攻撃側はすでにシステム全体を分析し、穴を探し始めている——経産省が異例の短期限を設けた背景には、この差がある。
「現場任せにするな」——経産省が経営トップに求めた3つの対応
では、経産省は具体的に何を求めたのか。要請は3点に集約される。経営トップが自ら主導して予算と人員を確保すること。自社の弱点(脆弱性)を早期に見つけて塞ぐこと。「社内のネットワークは安全」という前提を捨てること——だ。
「担当部署に任せておけばいい」では、もはや間に合わない。4月のはてな社の件が示した通り、11億円の損失は財務担当者が「正規の取引先からのメール」と信じて送金を承認したことで起きた。ITシステムの設定の問題ではなく、経営判断の問題だ。承認フローの設計も、それを誰に任せるかの決定も、社長レベルでしか変えられない。
組織トップが主導し、脆弱性を早期に把握する
経産省が求めた1点目と2点目——トップ主導の体制と、脆弱性の早期把握——は、どちらも「自社に何があるか」を知ることから始まる。ネットワークにつながっている機器の種類と台数、更新が止まった古いソフトウェアの所在。まずこの棚卸しが求められている。
3点目は「ゼロトラスト」への移行だ。専門用語だが、意味はシンプルだ——「社内のネットワークにつながっていても、常に本人確認と権限の確認をかける」方式に切り替えることを指す。テレワークや外部クラウドサービスの普及で「社内か社外か」という境界線が消えた今、「つながっているから信用する」は通用しない。
こうした対応を社内で担う人材として、経産省は「情報処理安全確保支援士」——国が認定したセキュリティの専門家——の確保を求めている。外部から招くのか、社内で育てるのか。その決断も経営者の仕事だ。
電力各社には、この棚卸しの結果を1か月以内に報告することが求められた。ガス・化学・クレジット・石油の各分野も今回の招集に含まれており、電力への期限は、他分野への本格的な要請が続く前触れとも読める。今回の動きを傍観できる立場の企業は、少ない。
2026年度からセキュリティ格付けが取引条件を左右する
要請だけでは企業は動かない——そう判断した政府は、制度と法律で「動かざるを得ない」仕組みを作り始めている。
2026年度下期から、経済産業省が主導する「セキュリティ対策評価制度(SCS評価制度)」が順次運用を開始する。★3・★4・★5の3段階でセキュリティ水準を格付けする制度だ。
| ★3 | ★4 | ★5 | |
|---|---|---|---|
| 審査方法 | 自己申告(担当者がチェックリストに沿って申告) | 第三者機関による44項目の審査+脆弱性検査 | より高度な統制審査 |
| 位置づけ | 入口の格付け | 中核の格付け | 最上位の格付け |
| 取引への影響 | - | 発注条件として指定可能 | - |
★3は入口の格付けで、自社の担当者がチェックリストに沿って自己申告する形で取得できる。★4はその上に位置し、第三者機関による44項目の審査と脆弱性検査を通過して初めて認定される——書類を整えれば済む話ではなく、実際にシステムの穴を第三者に探させる必要がある。★5はさらに高度な統制が求められる最上位だ。
格付けが取引に直結する。発注企業が「★4を取っていない企業には発注しない」という契約条件を設定できるからだ。部品メーカーから組立・販売まで連なる取引先全体(サプライチェーン)に、この格付けが影響する。大手企業が条件を設定すれば、その下に連なる中堅・中小企業も対応を迫られる。「うちは重要インフラじゃないから関係ない」という判断が通らなくなる可能性がある。
格付け制度と並行して、2026年中には「サイバー対処能力強化法」の施行も予定されている。電力・ガスなど重要インフラの事業者や一定規模以上の企業に対し、サイバー攻撃を受けた際の被害状況と対処内容を内閣サイバーセキュリティセンター(NISC)へ報告することを法的に義務付ける内容だ。攻撃の手口や被害の規模を政府が集約し、業界横断の早期警戒につなげる狙いがある。
お願いから格付けへ、格付けから法律へ——圧力の段階が、確実に上がっている。
格付け制度が本当に機能するかどうかは、まだ見えていない。1か月後に報告を受けた政府が、対応の遅い企業に何をするのか。制度が整う前に大規模な攻撃が来たとき、どう動くのか。答えは出ていない。
