能動的サイバー防御(ACD):次世代セキュリティと法整備
「能動的サイバー防御(Active Cyber Defense:ACD)」が今年の10月より運用が始まります。
それに先立って4月1日にサイバー通信情報監理委員会が発足されました。
能動的サイバー防御とは、社会インフラを標的とした国家規模のサイバー攻撃に対抗するため、政府を挙げてのセキュリティ政策です。
本記事は、能動的サイバー防御についての概要や内容、今後ロードマップをまとめています。
※自分自身が理解する目的でもあります。
本記事は個人の見解や感想も含まれており、誤りや認識の齟齬がある場合があります。
また、一部AIによって情報の収集や文章の添削を行っております。
能動的サイバー防御とは(概要)
能動的サイバー防御とは、サイバー攻撃による被害が発生する前にその兆候を探知し、攻撃の主体を特定・排除する積極的なセキュリティ戦略のことです 。
従来の日本のセキュリティは、ファイアウォールなどで外部からの侵入を待ち受けて防ぐ「受動的防御(リアクティブ)」が主流でしたが、これでは攻撃の出所を根本から断つことには限界がありました。
これに対し、能動的サイバー防御は、攻撃者の準備段階で通信メタデータ(IPアドレスや通信量など)から脅威を検知します 。そして、国家の安全保障の観点から、重大な攻撃が差し迫った場合に限り、警察や自衛隊が攻撃元のサーバーに直接アクセスし、通信遮断やマルウェアの無効化(テイクダウン)を行うことが想定されています。
受動的防御と能動的サイバー防御の違い
- 従来のセキュリティ
- 次世代のセキュリティ
能動的サイバー防御の法律の成立日
この政策転換を法的に裏付けるため、「サイバー対処能力強化法」および関連の「整備法」が制定されました。
-
成立日: 2025年5月16日
-
公布日: 2025年5月23日
この法律は企業への影響が大きいため、段階的な施行スケジュールが組まれています。 -
サイバー対処能力強化法 施行スケジュール
・2025年5月 : 16日 法案成立 : 23日 法律の公布
・2026年4月 : 1日 独立監視機関「サイバー通信情報監理委員会」の発足
・2026年10月 : 1日 本格運用 インシデント報告義務や無害化措置の権限発効
・2027年4月 : 1日 特定重要電子計算機の初回の資産届出期限 想定
能動的サイバー防御の背景や目的
- 巧妙化するインフラへの攻撃: 日本のサイバー空間への攻撃の99%以上は海外起点であり、医療や港湾など社会インフラの業務停止事例が続発。事後対応のみでは限界が露呈しました。
- ハイブリッド戦略への危惧: サイバー空間での攻撃と物理的な破壊行為を組み合わせた「ハイブリッド戦争」のリスクが高まっています。
- 欧米主要国との格差是正: 米国やEUではすでに強力なインフラ保護の法的枠組みが存在しており、日本がサイバー防衛網の「弱い環」にならないよう、「日本版ACD」の構築が急務でした。
能動的サイバー防御の法制度策定前後での差分
| 項目 | 法制度策定前(受動的防御中心) | 法制度策定後(能動的防御導入・2026年以降) |
|---|---|---|
| 防御のスタンス | 攻撃が侵入した後に対応する「事後対応型」。自組織内での防御に終始。 | 予兆段階で脅威を検知し対処する「事前予防・積極介入型」。 |
| 通信情報の利用 | 政府が攻撃検知目的で通信情報を広く収集する明確な法的根拠が欠如。 | 独立機関の厳格な監督のもと、攻撃に関連する「通信メタデータ」(IP、ポート、通信量、頻度、時刻など)の取得・分析が合法化。 |
| 攻撃元への対応 | 他者のサーバーへのアクセスや無害化(テイクダウン)は法律上困難だった。 | 重大な攻撃時、警察や自衛隊が攻撃元のサーバーにアクセスし、限定的な無害化措置(通信遮断・マルウェア無効化)を実施可能に。 ※破壊行為や報復的な攻撃は法律上禁止 |
| インシデント報告 | 国に対する統一された報告義務や厳格な期限、罰則はなかった。 | 15分野の基幹インフラ事業者に、24時間以内の速報と72時間以内の詳報を義務化(罰則あり)。 |
| 重要システムの届出 | 網羅的な事後届出制度は未整備。 | 重要なシステム(特定重要電子計算機)の導入・変更時の事後届出が義務化。 |
能動的サイバー防御への期待
甚大な被害の未然防止: インフラの停止や機密情報の流出を実害発生前に封じ込め、攻撃インフラそのものから防御(無力化)できます。
コストの削減: 被害復旧(調査、システム再構築、損害賠償など)にかかる莫大な事後コストを大幅に削減できます。
官民連携の高度化: 新設される協議会を通じて、政府から未公開の脆弱性情報や脅威インテリジェンスが民間企業へ提供され、社会全体の防衛力が底上げされます。
能動的サイバー防御の課題
プライバシーと「通信の秘密」の保護: 憲法で保障される通信の秘密とどう両立させるかが最大の争点です。2026年4月新設の「サイバー通信情報監理委員会」が、いかに透明性をもって政府の監視に歯止めをかけられるかが鍵となります。
基幹インフラ事業者の実務負担: 対象となる約250社の事業者は、システム機器の国への届出義務や、厳格なインシデント報告義務が課せられ、違反時には最大200万円の罰金が科されるなどプレッシャーが増大しています。
技術的・国際的ハードル: 誤検知による一般サーバーへの通信障害(巻き添え)のリスクや、海外に設置された攻撃サーバーに対して実力行使(テイクダウン)を行う際の国際的な法調整が困難です。
その他(対応しておくとよさそうなこと)
この法整備はインフラ事業者だけではなく、システムを構築するSIerやクラウド事業者に対しても、これまで以上に厳しいセキュリティ要件を求めるようになります。
- 2026年10月の本格施行に向けて着手すべきアクション
資産の可視化: ソフトウェア部品表(SBOM)などを整備し、自社システムが顧客の「特定重要電子計算機」を構成していないか透明性を持たせる。
インシデント報告体制の再構築: 小さなヒヤリハット事象でも迅速にエスカレーションできるよう、社内フローを明文化し、報告をためらわない風土を作る。
ログ保存期間の延長: インシデントの原因究明に備え、ネットワークログや認証ログの保存期間を最低でも「1年間」に設定することが推奨されています。
継続的な脆弱性管理: 定期的な脆弱性診断を行い、ベンダーからのパッチを迅速に適用する運用サイクルを徹底する 。日本のサイバーセキュリティは「受け身」から「攻め」へ変わろうとしています。エンジニアとして常に最新の法整備と脅威動向にアンテナを張り、堅牢なシステムを構築し続けることが求められています。
最後に
この記事では概要のみの紹介ですが、これからもセキュリティについては法整備含めて色々と変化が起きてくると想定されます。
AIの普及によって攻撃者側のバリエーションも増えていますし、護り手側の横連携は重要になってくると思われます。
最後まで見ていただきありがとうございます。