2025年に可決・成立した「能動的サイバー防御法」を分かりやすく解説してみました。
そもそも「能動的サイバー防御」とは
能動的サイバー防御(Active Cyber Defense、ACD)とは、被害が出てから対応する従来の受動的な防御から、攻撃の兆候を事前に察知して被害前に先手を打つことです。
2025年に日本で可決・成立した「能動的サイバー防御法」(※)とは、その能動的サイバー防御を定義したものです。
(※)正式名称は「サイバー対処能力強化法」と関連整備法です。
成立の背景
近年サイバー攻撃が高度化・激化しているためです。
いくつか例を挙げてみます。
例1)名古屋港で起きたランサムウェア攻撃(2023年7月)
港湾システムが約3日間停止し、トヨタ自動車などの製造業にも波及する物流混乱が生じました。
例2)アサヒに対するランサムウェア攻撃(2025年9月)
ランサムウェア攻撃によりアサヒグループHDのシステム障害が起きたことは、記憶に新しいです。
日本の公的機関においても、JAXAへの侵入や国家サイバー期間NISC職員のメール情報窃取といった機密情報の漏洩が起きています。
海外に目を向けても、ウクライナ侵攻時に電力網攻撃があったことが知られます。
このような状況を受け、日本政府は国家安全保障戦略(2022年12月策定)に基づきサイバー安全保障体制の強化に乗り出しました。
要は、従前の「攻撃を受け手から対応する」受動的防御ではもはや対応できない、ということです。
何が変わるのか
日本のサイバー防御体制には、大きな変更点が生じます。
「兆候の把握」→「迅速な警告通知」→「被害拡大防止策」→「必要に応じ反撃措置」という一連のサイクルが平時から可能となり、サイバー攻撃に対する国家的な対処能力の強化に繋がります。
内訳は下記の通りです。
①攻撃兆候の早期把握
政府がサイバー防御の兆候を早期に察知するため、通信事業者から提供される通信メタデータ(例:IPアドレス・通信先・日時)を収集・分析できる枠組みが整えられます。
通信の本文には踏み込まないことで、プライバシーへ配慮しつつ異常な通信パターンを監視します。
②被害拡大を防ぐ迅速な通知と対応
サイバー攻撃の兆候を検知した場合は、政府が関係するインフラ事業者や企業に対し、即座にリスク情報を通知する仕組みが導入されます。
通知を受けた企業側は、被害が現実化・拡大する前に攻撃に関する通信を遮断したり、アクセスをブロックしたりする初動対応が可能になります。
これは法的強制力のある義務ではないですが、実質的なセキュリティ基準として機能するため、企業には対応努力が求められるでしょう。
③攻撃元サーバへの「アクセス・無害化」措置
特に深刻なサイバー攻撃については、警察や自衛隊が攻撃元のサーバに侵入し機能を無力化することも可能となります。
これは従来、不正アクセス禁止法に抵触するため許されなかった行為ですが、本法により独立機関の承認など一定の手続きを経て令状なしでも可能とされました。
④官民連携の強化と新組織の設置
政府と民間事業者が、サイバー脅威情報を共有し連携する体制も整備されます。
例えば重要インフラ事業者や通信事業者、セキュリティ機器メーカーなどとの間で情報共有協定の締結や、「情報共有・対策に関する協議会」の設置が進められます。
このことで、官民一体となって情報交換や防御策の協議が可能となります。
また、政府内における新組織の設置も見逃せません。
政府内で内閣サイバーセキュリティセンター(NISC)を改組し、統括的な司令塔となる新組織「国家サイバー統括室(NCO)」が設置されました。
このことで、サイバー対策を一元的に指揮・調整する体制が強化されます。
⑤独立監視機関の設置
政府が通信情報を収集・分析することへの不安に対処するため、独立機関「サイバー通信情報監理委員会」が新設されます。
監理委員会は国会への報告義務も負い、恣意的な権限濫用やプライバシー侵害を防ぐための歯止めとして機能することが期待されます。
民間企業や一般人への影響
セキュリティ対策の取り組み方が大きく変わります。
3つのグループに分けて、以下に記載いたします。
【重要インフラ事業者やベンダー企業】
直接的な影響を受けます。
具体的には、重要システム導入時の届出義務や、インシデント発生時の報告義務が新たに課されます。
民間側は自社システムの安全性確保はもちろん、政府との情報共有や協力体制構築にも積極的に関与していく必要があります。
【中堅・中小企業】
中堅・中小企業も無関係ではありません。
顕著なのはITベンダーでしょう。
中小であったとしても、従来以上にセキュリティ品質の担保と迅速な対応能力が求められます。
(例:自社製品に重大な脆弱性が判明した際の迅速なアップデート提供・注意喚起の実施)
【一般の国民】
国家的なサイバー攻撃対処力が上がれば、社会全体のインフラ停止リスクや個人情報漏洩リスクの低減といった恩恵が期待できます。
ただ、先ほど書いた監理委員会のチェックがあるとはいえ、自分の通信記録(メタデータ)が政府に収集・分析され得る点は知っておく必要があるでしょう。
もちろん、サイバー攻撃対策を国家任せにせず、基本的なセキュリティ意識を高めていくことは、これまで以上に大切になります。
反対した政党
「能動的サイバー防御法」は、賛成多数で可決されましたが、一部の政党や議員は強く反対しました。
反対を表明したのは、日本共産党・れいわ新選組・社会民主党などです。
彼らの主張は公式HPでも確認できますが、主には下記の通りです。
・通信の秘密・プライバシー侵害への懸念:日本国憲法21条が保証する「通信の秘密」を侵害する恐れがある。
・戦争リスクへの懸念:「アクセス・無害化」が他国の主権侵害とみなされ、戦争を引き起こす恐れがある。
・監視体制の独立性への不信:監理委員会を置くとはいえ、真に独立したチェック機関であるのか疑問である。
・他の対策を優先(れいわ新選組):まずは中小企業や行政機関のサイバーセキュリティ底上げを行うべきである。
海外ではどうか
海外でも似たような法令があります。
詳細の説明は割愛しますが、例えば、下記の通りです。
欧州:サイバーレジリエンス法(CRA)
アメリカ:連邦サイバーセキュリティ規制簡素化法
オーストラリア:サイバーセキュリティ法
政府主導で国家全体のサイバー防御力を高めようとしている点で、これまで書いた「能動的サイバー防御法」と共通しています。
「スパイ防止法」との関連性
「能動的サイバー防御法」は、広い意味でスパイ防止施策の1つと位置付けることができます。
能動的サイバー防御法によって、政府がサイバー上のスパイ行為を早期に検知し阻止することが期待されるためです。
一方で、日本には現在、アメリカやイギリスのような包括的スパイ防止法は存在しません。
詳細は割愛しますが、能動的サイバー防御法に反対した政党に加え、立憲民主党、さらには日本弁護士連合会(日弁連)などが反対しています。
まとめ:日本のサイバーセキュリティは次のフェーズへ
ここまで、通称「能動的サイバー防御法」の背景や内容を見てきました。
サイバー攻撃は日々進化しており、防御も受動的なものから能動的なものへシフトしつつあります。
政府と民間が連携して実現する「全員で備える新たなサイバー防御」の幕開けと言えるのではないでしょうか。
(おまけ:もっと詳しく知られたい方向け)
「能動的サイバー防御法」は、実際には内容の異なる2つの法律によって構成されています。
政府は今後、これらの法律に基づき詳細な運用基準やガイドラインを策定し、2026年までに新制度を本格稼働させる予定です。
①「重要電子計算機に対する不正な行為による被害の防止に関する法律」
衆議院のページ:●重要電子計算機に対する不正な行為による被害の防止に関する法律案
一般に「サイバー対処能力強化法」と通称される新法です。
外国からの組織的サイバー攻撃から国や重要インフラを防衛するための基本的枠組みを定めています。
本制度の中核となる仕組みが規定されているだけでなく、用語の定義(例:「能動的サイバー防御」、およびその対象となる「重要電子計算機」)や基本理念も盛り込まれています。
②重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律
衆議院のページ:重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案:参議院
上記新法の施行に伴い、既存の関連法令を改正する整備法です。
サイバー対処能力強化法(新法)を実行に移すため、必要な他の法律の改正点をまとめています。
(例:警察官職務執行法や自衛隊法の一部改正)