能動的サイバー防御法とは

能動的サイバー防御法(正式名称:サイバー対処能力強化法案)は、2025年に国会で成立し、2026年10月の施行が予定されている法律です。政府がサイバー攻撃の兆候を事前に把握し、先制的に対処するための法的枠組みを定めます。

従来の日本のサイバーセキュリティ政策は「受動的防御」(攻撃を受けてから対応)が中心でしたが、本法は「能動的防御」(攻撃の予兆段階で対処)へと転換する画期的なものです。米国のCISA/NSA、英国のNCSC Active Cyber Defenceに相当する「日本版ACD」として位置付けられています。

法律の3つの柱

1. 通信情報の利用

政府がサイバー攻撃に関連する通信メタデータ(送信元IP、通信先、通信量等)を分析可能にする規定です。通信の内容そのもの(本文等)は対象外で、憲法で保障される「通信の秘密」との調整のため、独立監視機関(サイバー通信情報監理委員会)が設置されます。

2. 基幹インフラ事業者へのアクセス・無害化措置

重大なサイバー攻撃が差し迫った場合、政府が攻撃元サーバーへの無害化措置(アクセス遮断、マルウェア無効化等)を実施できる権限を定めます。実施にあたっては内閣総理大臣の承認が必要で、自衛隊のサイバー防衛隊が実動を担います。

3. 官民連携の強化

  • インシデント報告義務の拡大:基幹インフラ事業者は重大インシデント発生時に24時間以内の速報、72時間以内の詳細報告が義務化
  • 情報共有体制の強化:政府と民間の脅威情報共有プラットフォームの整備
  • 事業者への技術支援:NISC(内閣サイバーセキュリティセンター)による技術的助言・支援

対象となる基幹インフラ事業者

分野対象事業者の例
電力一般送配電事業者、発電事業者
通信電気通信事業者(一定規模以上)
金融銀行、証券、保険
交通鉄道、航空、港湾
医療特定機能病院、地域医療支援病院
水道水道事業者(一定規模以上)
その他ガス、石油、化学、物流、放送、郵便、クレジットカード等

対象は15分野にわたり、政令で定める閾値以上の事業者にインシデント報告義務が課されます。

中小企業への影響

中小企業は直接的な義務対象ではありませんが、間接的な影響は大きいと予想されます。

  • サプライチェーンの波及効果:基幹インフラ事業者の取引先として、セキュリティ要件が厳格化。「取引先にもインシデント報告体制を求める」条項が含まれる
  • SCS評価制度との連動:能動的サイバー防御法とSCS評価制度は一体の政策パッケージ。SCS★1未達の企業は基幹インフラ事業者との取引が困難に
  • サイバー保険への影響:法整備に伴い、サイバー保険の引受条件が厳格化する可能性

企業が準備すべき対策

  • インシデント対応計画の策定:CSIRT(Computer Security Incident Response Team)の設置、または外部SOCサービスとの契約。報告フローの明文化
  • ログ保存期間の延長:最低1年間のログ保存を推奨。認証ログ、ネットワークログ、アプリケーションログが対象
  • 外部SOCサービスの検討:24時間365日のセキュリティ監視。中小企業は自社SOC構築よりもマネージドSOCが現実的
  • セキュリティ監査の定期実施:年1回以上の脆弱性診断、ペネトレーションテストを推奨

海外の先行事例との比較

国・地域制度特徴
米国CISA/NSA(大統領令14028等)連邦政府システムのゼロトラスト義務化、ソフトウェアサプライチェーン要件(SBOM)
英国NCSC Active Cyber DefenceDNSフィルタリング、フィッシングサイトの自動テイクダウン等の「国家レベルの防御サービス」
EUNIS2指令(2024年施行)重要インフラ事業者のセキュリティ義務強化、インシデント報告義務(24時間/72時間)、罰則規定
日本能動的サイバー防御法(2026年10月)通信メタデータ分析、攻撃元への無害化措置、報告義務の拡大。EUのNIS2指令に近い枠組み

BTNコンサルティングの支援

能動的サイバー防御法への対応準備を支援します。インシデント対応計画の策定、ログ管理体制の構築、SCS評価★1取得支援まで、「情シス365」セキュリティパックで包括的にカバーします。

まとめ

能動的サイバー防御法は、日本のサイバーセキュリティ政策を「受動」から「能動」へ転換する歴史的な法律です。中小企業は直接の義務対象でなくとも、サプライチェーンを通じて間接的な影響を受けます。2026年10月の施行に向けて、インシデント対応計画、ログ管理、SCS評価対応の準備を進めましょう。