能動的サイバー防御とは？関連法案が施行されると何が企業に求められるか？

政府が推進する「能動的サイバー防御（Active Cyber Defense：ACD）」が大きな注目を集めています。2025年4月に衆議院を通過した関連法案は、従来の受動的なサイバーセキュリティ対策から「攻撃の兆候を事前に検知し、先制的に対処する」というパラダイムシフトを意味します。この新たな枠組みが企業活動に及ぼす影響と国際的な潮流について、技術的・法的観点から最新の情報をもとに詳しく解説します。

1．能動的サイバー防御の本質と技術的基盤

能動的サイバー防御とは、サイバー攻撃が発生する前の段階で予兆を検知し、攻撃元の特定や無害化措置を講じる新しいセキュリティの概念です。従来のファイアウォールや侵入検知システム（IDS）といった受動的防御が「盾」だとすれば、ACDは「矛」として機能します。たとえば、重要インフラを標的とするランサムウェア攻撃が実行される前に、攻撃者のC2（コマンド＆コントロール）サーバーに侵入して攻撃能力を無効化するといった運用が想定されています。

法案の柱は以下の三点です。第一に、通信事業者からのデータ収集権限の拡大です。政府は「技術情報に限定する」と説明していますが、参議院審議では、メール本文やSNS投稿を含む可能性があることも示唆されており、通信の秘密やプライバシー保護とのバランスが今後の大きな課題です。第二に、独立した「サイバー通信情報監理委員会」の設置です。民間専門家を含む第三者的立場で監視活動の適正性を担保します。第三に、警察庁サイバー警察局と自衛隊サイバー防衛隊の役割分担です。通常の攻撃は警察が、高度な国家規模の攻撃は自衛隊が担当する体制が構築されます。

2．国際比較で見るサイバー防御の潮流

能動的サイバー防御の概念は日本独自のものではありません。米国では2018年から「Defend Forward」戦略を掲げ、同盟国のネットワーク防衛を支援しつつ、敵対勢力のインフラに事前介入する方針を明確にしています。2022年のウクライナ危機では、米サイバー司令部がリトアニアやラトビアなどに専門チームを派遣し、サイバー防御能力を強化した実績があります。

欧州連合（EU）では2023年1月に「NIS2指令」が施行され、エネルギー・運輸・金融などの重要事業者に対し、インシデント報告義務が強化されています。ドイツでは2023年に国家安全保障戦略で能動的防御の検討が始まりましたが、2024年の政権危機により政策の継続性には不透明感が出ています。オーストラリアでも連邦警察と信号局がランサムウェア組織への作戦を展開していますが、法執行機関と軍事組織の役割分担には各国とも課題を抱えています。

3．企業に求められる変革

法案が成立した場合、基幹インフラ事業者※には新たな義務が課されます。基幹インフラ事業者は、政府との任意協定締結後、導入機器やインシデント発生時の情報提供が義務化されます。

※基幹インフラ事業者・・・対象事業は、電気、ガス、石油、水道、鉄道、貨物自動車運送、外航貨物、港湾運送、航空、空港、電気通信、放送、郵便、金融、クレジットカード）の15分野となっています。（2025年4月時点）

サプライチェーン全体への影響も無視できません。たとえばメーカーが対象業種に指定されれば、部品サプライヤーもセキュリティ基準の向上を迫られることになります。

これに関連して、石破茂内閣総理大臣からは「基幹インフラ事業者のサイバーセキュリティを確保するためには、これらの事業者と取引のある中小企業を含めたサプライチェーン全体での対策も重要である。本法律案では、基幹インフラ事業者以外の事業者についても、サイバー攻撃による被害の防止のために国が情報提供を行うことや、情報共有と対策を進めるための官民の協議会に構成員として参加してもらうことを可能とする規定を設けており、こうした取組によって、中小企業等のサイバーセキュリティ対策の強化を図っていく」旨の答弁がありました。

官民連携の情報共有プラットフォーム構築が急務となります。政府が収集した脅威インテリジェンスを企業が活用する一方、企業側も攻撃検知データを速やかに共有する双方向型モデルへの移行が必要です。MITRE ATT&CK（マイター・アタック）フレームワークを活用した攻撃経路の可視化、ゼロトラストアーキテクチャの導入、脅威ハンティングの常態化が競争力維持の鍵となります。

4．脅威ハンティングの戦略的意義

能動的サイバー防御の実効性を高めるためには、企業側の脅威ハンティング能力が不可欠です。脅威ハンティングとは、「既に侵入されている」という前提で、専門家がログ分析やメモリフォレンジックを通じて潜在脅威を能動的に探索する活動です。従来のシグネチャ型検知では捉えきれないファイルレスマルウェアやLiving Off The Land（LOTL）攻撃（標的システムに元々備わっている正規のツールや機能（OSのコマンドや管理用ツールなど）を悪用して攻撃を実行する方法）の検知に有効です。

先進企業ではEDR（Endpoint Detection and Response）やSIEM（Security Information and Event Management）を連動させ、MITRE ATT&CKフレームワークのTTPs（Tactics, Techniques, Procedures）を参照しながら、AIによる異常行動検知と人間の分析的思考を融合させたハイブリッド型ハンティングを実践しています。これにより、従来の受動的なセキュリティ対策を補完し、より高度な攻撃に対する早期発見と対応が可能となります。

5．法制度がもたらす新たな課題

能動的サイバー防御の施行は、企業ガバナンスに根本的な見直しを迫ります。第一に、通信の秘密と攻撃検知のバランスです。政府は「技術情報に限定する」と説明していますが、審議ではメール本文やSNS投稿も対象となり得る可能性が示唆されており、プライバシー保護団体からの懸念が強まっています。第二に、国際的な法執行協力の枠組み整備です。海外サーバーへの無害化措置を実施する場合、国際法適用の扱い（Tallinn Manual 2.0＝サイバー空間における国際法の適用について、世界的な法律専門家グループがまとめた解説書）との整合性が今後の課題となります。

技術面では「無害化措置」の定義が曖昧な点がリスク要因です。攻撃者サーバーの破壊からデータ改ざんまで、措置の範囲が明確でなく、独立監理委員会の透明性ある運営と、企業向けガイドラインの早期整備が待たれます。

内閣委員会調査室の資料※によると、以下のことが課題として提示されています。

①通信の秘密・プライバシーとの整合性

 サイバー攻撃対策のために通信情報を政府が収集・分析することが、憲法21条が保障する「通信の秘密」やプライバシー権とどのように整合するかが大きな論点となっています。特に、同意なしに通信情報を取得する場合、公共の福祉の観点から必要最小限度に制約をとどめる制度設計が求められており、独立性の高い「サイバー通信情報監理委員会」による監督や、情報の自動選別・非識別化措置などが導入されていますが、国民の不安払拭と丁寧な説明が必要とされています。

②情報漏えい・安全管理

企業や事業者から政府へ提供された通信情報が漏えいした場合、企業の信用毀損や国民の信頼低下につながる懸念が指摘されています。政府による厳格な安全管理措置や、情報の保存期間・管理方法の明確化が求められています。

③サイバー通信情報監理委員会のガバナンス・透明性

監理委員会は、通信情報の取得・利用やアクセス・無害化措置の承認・監督など強い権限を持つため、構成や運営の透明性、専門性の確保、十分な体制整備が不可欠とされています。毎年の国会報告や情報公開のあり方についても、国会や国民が十分にチェックできる内容とする必要性が指摘されています。

④事業者負担と協定の在り方

政府と基幹インフラ事業者等が締結する協定の内容によっては、事業者側の負担が重くなる懸念があります。協定締結は強制されないこと、不利益な取扱いを受けないことを制度上明確にする必要があるとされています。

⑤アクセス・無害化措置の実施と国際法

警察や自衛隊が攻撃元サーバーへの侵入・無害化措置をとる際、特に国外サーバーの場合は国際法との整合性や主権侵害の問題が生じます。外務大臣との協議や国際法上の正当性確保、国際世論の形成など、慎重な運用と外交努力が求められています。

⑥緊急時の例外規定と歯止め

サイバー通信情報監理委員会の事前承認を経ずに措置をとれる「いとまがない場合」の例外規定が設けられていますが、これが濫用されればチェック機能が形骸化する懸念があり、運用の歯止めや説明責任が重要とされています。

⑦警察・自衛隊の役割分担と連携

警察と自衛隊が同一拠点で連携しつつ、異なる指揮系統で動くため、円滑な連携体制や指揮・責任の明確化が必要です。

⑧人材・体制の充実

サイバー防御人材の量・質ともに充実が不可欠であり、特に自衛隊のサイバー部隊規模が国際的に見て小さいことが課題とされています。

⑨実践的な運用・意思決定体制

サイバー攻撃への対応には迅速な意思決定が不可欠であり、関係省庁・委員会間の分担や連携、シミュレーションの実施が求められています。

⑩サプライチェーン全体の強靱化

中小企業も含めたサプライチェーン全体のセキュリティ対策強化が、社会全体のレジリエンス向上のために重要とされています。

※https://www.sangiin.go.jp/japanese/annai/chousa/rippou_chousa/backnumber/2025pdf/20250414003.pdf

6．2027年施行へ向けて

政府は2025年度中の法案成立を目指していますが、参議院での修正議論が予想され、施行までにはさらなる議論が必要です。企業はサプライチェーン全体を見据えたセキュリティ投資の再配分が求められます。国際標準化機構（ISO）の新規格策定動向を注視しつつ、脅威ハンティング人材の育成や攻撃シミュレーション環境の整備、インシデント対応演習の高度化が急務です。

能動的サイバー防御の本質は、サイバー空間における「非対称戦争」のルールを書き換えることにあります。攻撃者に「侵入すれば必ず代償を払う」という認識を植え付けるこの仕組みは、単なる技術的進化を超え、国家と企業のリスクマネジメント哲学そのものの変革を迫る歴史的転換点と言えるでしょう。2027年というタイムリミットを前に、企業は今まさに「予防的セキュリティ」への本格的な適応を求められています。