能動的サイバー防御法案：企業への影響とポイント

能動的サイバー防御に関する法案が影響をおよぼす範囲は、主に基幹インフラに関連する事業者に限定されると見込まれます。しかし、この法案が解決しようとしている「サイバー攻撃の複雑化・高度化」という課題はあらゆる企業に共通しています。一般企業であっても能動的サイバー防御というコンセプトから学ぶべきことがあります。

【本記事のサマリ】

2025年5月、サイバー攻撃を未然に防ぐことを目的とした「能動的サイバー防御」を導入するための法案「重要電子計算機に対する不正な行為による被害の防止に関する法律案」（以下、能動的サイバー防御法案）が成立しました。

この法案は、能動的サイバー防御という言葉の定義の曖昧さもあって、企業にどのような影響があるのか不安に感じている方も多いように思われます。本記事では、能動的サイバー防御法案の概要を解説するとともに、企業が学ぶべきポイントをご紹介します。

能動的サイバー防御とは

能動的サイバー防御とは、サイバー攻撃の兆候や攻撃元を予測、特定し、攻撃を無害化または妨害する活動を指します。サイバー攻撃では、サイバー攻撃の受け手はあらゆる方向から、あらゆる手段で仕掛けられる攻撃に対して完全な備えを維持し続けなければならないのに対して、攻撃者は攻撃対象や攻撃手法を自由に組み合わせることで、標的システムに1つでも弱点があれば、その弱点を突いて攻撃を成功させることが可能です。このことから、守りに徹する受動的（Passive）なサイバー防御では、複雑化・高度化するサイバー攻撃を防ぎきれないことが指摘されてきました。

日本における能動的サイバー防御は、この問題意識をもとに「サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる」ことを目的として議論が重ねられてきました。

能動的サイバー防御の3つの柱

日本における国家レベルの能動的サイバー防御の仕組みは、以下の3つの柱から実現されます。また、サイバーセキュリティ戦略本部の体制強化、内閣サイバー官の設置など、新たな取組みを実現するために必要な組織体制が整備されます。

1. 官民連携の強化

能動的サイバー防御において最も重要となるのは、攻撃の兆候や攻撃者に関する情報収集ですが、民間企業が各々独自で情報収集を行うのは限界があり、効率的ではありません。能動的サイバー防御法では官民の連携を強化することで、日本政府に情報を集約する仕組みが構築されます。
具体的には、①基幹インフラ事業者による重要システム導入の届出やインシデント報告の義務化②情報共有・対策のための協議会の設置③政府主導の脆弱性対応の強化などが挙げられます。

2. 通信情報の利用

同様に、政府がサイバー攻撃の兆候や攻撃者に関する情報を収集するため、通信情報の利用に関する制度が整備されます。政府は基幹インフラ事業者から①協定に基づいて通信情報を取得できるほか②内閣総理大臣が必要であると認めた場合には協定・同意によらず通信情報を取得できるようになります。

3. アクセス・無害化措置

警察官職務執行法および自衛隊法の改正により、①官民連携の強化②通信情報の利用を通して得られた情報に基づき、警察または防衛省・自衛隊がサイバー攻撃による重大な危害を防止するために必要な措置を講じることが可能になります。

能動的サイバー防御法案が企業に及ぼす影響

能動的サイバー防御法案の3つの柱のうち、企業に影響をおよぼすと考えられるのは「官民連携」と「通信情報の利用」の2つです。

1. 基幹インフラ事業者に対する影響

能動的サイバー防御法案において、基幹インフラ事業者は特定重要電子計算機を導入した場合、その製品名等を事業所管大臣に届出しなければならないと定められています。ここでの特定重要電子計算機とは、サイバーセキュリティインシデントにより、特定重要設備の機能が停止、低下する恐れのある電子計算機であると定義されています。

基幹インフラ事業者は、既に経済安全保障推進法の下で特定重要設備の導入に係る届出が義務付けられているため、経済安全保障推進法への対応プロセスを活用することができ、この能動的サイバー防御法案の要件が企業におよぼす影響は軽微であると私たちは考えています。

また、基幹インフラ事業者は不正アクセス等により、特定重要電子計算機のサイバーセキュリティが侵害された、またはその兆候が見られる場合には事業所管大臣および内閣総理大臣に報告することも求められますが、同様に、基幹インフラ事業者は経済安全保障推進法の下でインシデント報告が義務付けられているため、ここでも大きな影響は生じないと予想されます。

一方で、通信情報の利用に関しては、対応を迫られる基幹インフラ事業者があるかもしれません。政府による通信情報の取得は主にインターネットプロバイダーなど電気通信事業者を念頭に置いたものと予想されますが、現時点では広く基幹インフラ事業者が対象になる可能性を排除できないことに注意が必要です。
多くの基幹インフラ事業者はSIEM（Security Information and Event Management）ソリューションなどの統合ログ管理ツールを導入済みだと思われますが、政府の求めに応じて必要なログを速やかに特定、抽出、提出できる仕組みが存在するかどうか、確認する必要があるでしょう。

2. 電子計算機等供給者に対する影響

基幹インフラ事業者に対して重要な情報システム（IT）や制御システム（Operational Technology, OT）を供給している企業も、能動的サイバー防御法案の影響を受けます。なお、ここでの供給とは、システムの設計・製造だけでなく、輸入や販売も含まれることに留意してください。

日本における能動的サイバー防御の仕組みにおいて、電子計算機等供給者はまず、サイバーセキュリティ基本法の改正により、利用者のサイバーセキュリティ確保のためセキュアな設計・開発を行ったり、情報の継続的な提供等に努めることが義務付けられます。

また、内閣総理大臣および所管大臣が重要電子計算機やプログラムに脆弱性を認知した場合、サイバー攻撃による被害を防止するために必要な措置を講ずるよう要請することが可能になります。システム設計や製造にかかわる企業は特に、製品やサービスのセキュリティ管理を行う組織であるPSIRT（Product Security Incident Response Team）の設立など、基幹インフラ事業者に提供した／しているシステムの安全性を確保するための仕組みを構築することが求められます。

能動的サイバー防御に関する動きから一般企業が学ぶべきポイント

上述のとおり、日本における能動的サイバー防御法案の影響は、主に基幹インフラ事業者および、それら事業者に重要システムやサービスを提供している事業者に限定されています。一方で、サイバーセキュリティへの対応が遅れていると指摘されてきた日本政府が、法制度として能動的サイバー防御を実現しようとしていることは、一般企業にとっても注目すべき動向です。

冒頭で説明した「従来のような受動的なサイバー防御では、高度化するサイバー攻撃に対応しきれない」という課題は、一般企業にとっても決して他人事ではありません。サイバー空間での積極的な情報収集と、それら情報に基づいたセキュリティ態勢の高度化は、ますます重要になっていくでしょう。
能動的サイバー防御から企業が学ぶべきポイントを、２つ紹介します。

コントロール・リスクスには、サイバー脅威インテリジェンスを専門とするアナリスト集団が在籍しています。

サイバー脅威インテリジェンスを提供する企業・サービスは多数ありますが、その多くが情報システムやサイバーセキュリティなどIT・テクノロジー部門を対象とした戦術・作戦レベルのインテリジェンスを提供しているのに対し、コントロール・リスクスは戦略レベルのインテリジェンスに重点を置いており、数多くのグローバル企業の経営層、リスク管理部門、法務コンプライアンス部門など、非テクノロジー部門に対してインテリジェンスを提供してきた実績があります。また、インテリジェンスを具体的なセキュリティ対策に繋げるためのコンサルティング経験、実績も豊富に有しています。

サイバー脅威インテリジェンスを活用したセキュリティ態勢の高度化にご関心のある方は、ぜひお気軽に以下フォームからお問合せください。