能動的サイバー防御とは？2026年施行のサイバー対処能力強化法で企業対応はどう変わるか

2026.06.24

はじめに

従来の「守り」だけでは被害を食い止められない局面が増えており、国家が関与するサイバー攻撃が相次いでいます。こうした危機感を背景に、2025年5月にサイバー対処能力強化法が成立し、2026年から段階的に施行されます。

この新制度のもとで、基幹インフラ事業者にはインシデント報告やIT資産の届出といった新たな義務が課され、取引先のサプライチェーン企業にも間接的な影響が及びます。本記事では、能動的サイバー防御の考え方から法律の全体像、そして企業対応の実務までを順を追って解説します。

能動的サイバー防御とは

従来の「受動的防御」との違い

受動的防御と比べ、能動的サイバー防御は、攻撃の兆候を早い段階でつかみ、攻撃元に対して国が直接対処する点が大きく異なります。従来のサイバー防御は「受動的防御」と呼ばれ、ファイアウォールやウイルス対策ソフトといった仕組みで攻撃を検知・遮断する方式が中心でした。つまり、攻撃が届いてから壁で防ぐという考え方です。

具体的には、政府が通信情報を分析して攻撃の予兆を検知したり、攻撃に使われているサーバーそのものにアクセスして無害化したりする手段が含まれます。受動的防御が「盾で身を守る」行為だとすれば、能動的サイバー防御は「攻撃の発信源を封じる」行為にあたります。この転換により、被害が発生する前の段階で脅威を抑え込む枠組みが整備されました（参照*1）。

制度化に至った背景と脅威の実態

重要インフラへの攻撃増加が、能動的サイバー防御の制度化を後押ししました。2023年1月から2024年1月にかけて、世界で観測された重要インフラへのサイバー攻撃は4億2000万件以上に達しました（参照*2）。

日本国内でも深刻な事案が続いています。JAXAのサーバーからアカウント情報が窃取された事案、金融機関がDDoS攻撃を受けてネットバンキングが一時停止した事案、JALの運航が遅延した事案などが相次ぎました。さらにアサヒグループホールディングスがランサムウェア攻撃を受けた事例も報じられています（参照*1）。政府資料（警察庁資料を出典とする）によると、令和6年中に警察庁が観測したサイバー攻撃関連の通信（ダークネット向けの攻撃通信を含むパケット）の99.4%が海外のIPアドレスを発信元とするものでした（参照*3）。国内だけで防壁を築いても、海外からの攻撃を根元から断つ手段がなければ対処しきれない状況が、制度化を後押ししました。

サイバー対処能力強化法の全体像

法律の目的と正式名称

能動的サイバー防御を実現するために制定された法律は、通称「サイバー対処能力強化法」と呼ばれます。正式名称は「重要電子計算機に対する不正な行為による被害の防止に関する法律」で、法令番号は令和7年法律第42号です。あわせて、関連する既存法律の調整を行う「整備法」（令和7年法律第43号）も制定されました（参照*4）。

この法律の目的は、電力・通信・金融などの社会基盤を支えるコンピュータ（特定重要電子計算機）を不正な行為から守り、国民生活や経済活動への重大な被害を防ぐことにあります。2025年5月16日に国会で成立し、同年5月23日に公布されました。

制度を支える「3つの柱」

サイバー対処能力強化法は、3つの柱で構成されています。第1の柱は「官民連携の強化」です。重要インフラ企業から政府への報告を義務化し、集まった情報を広く分析・活用できる仕組みを整えます。第2の柱は「通信情報の利用」で、通信事業者からのデータ提供を通じて攻撃の兆候を早期に検知します。第3の柱は「攻撃サーバーの無害化」であり、攻撃の発信源となっているサーバーなどに国家が直接対処します（参照*5）。

この3つの柱により、情報の集約、兆候の検知、発信源の制圧という一連の流れを国全体で実行できる体制が敷かれます。従来は、攻撃を受けた側の企業や通信事業者が個別に対応するしかありませんでした。特に第3の柱は、憲法上の「通信の秘密」との整合性が議論された論点であり、独立機関の監視のもとで運用されることになります。

段階的施行スケジュール

サイバー対処能力強化法の施行は一括ではなく、段階的に進められます。公布日は2025年5月23日で、主要部分の施行日は2026年10月1日です。ただし、独立監視機関である「サイバー通信情報監理委員会」の設置は2026年4月1日に前倒しされます。通信情報の利用に関する規定は一部を除き、公布から2年6月を超えない範囲で政令が定める日に施行されます（参照*6）。

企業の視点では、2026年10月1日を基準に届出や報告の義務が発生するため、それまでに社内体制を整える必要があります。通信情報の利用に関しては施行がやや遅れる可能性があるものの、監視委員会は半年早く設置されるため、運用ルールの策定は先行して進む見通しです。

官民連携と通信情報利用の仕組み

インシデント報告と資産届出の義務

サイバー対処能力強化法は、基幹インフラ事業者に2つの義務を課しています。1つ目は「資産届出」です。基幹インフラ事業者は、特定重要電子計算機を導入した際にその製品名などを事業所管大臣に届け出なければなりません。届出を受けた事業所管大臣は、その内容を内閣総理大臣に通知します（法第4条）。2つ目は「インシデント報告」です。不正アクセスなどにより特定重要電子計算機のサイバーセキュリティが害されたこと、またはその原因となり得る事象を認知した場合には、事業所管大臣と内閣総理大臣に報告する義務があります（法第5条）（参照*3）。

具体的な期限も定められています。ネットワーク機器やサーバーなどを導入またはシステムを更新した場合は4か月以内に所管大臣へ届け出ること、サイバー攻撃を受けた際や攻撃の痕跡を発見した際には速やかに報告し、30日以内に詳細な報告書を提出することが求められます（参照*7）。業務に直接影響が出ていなくても報告対象となりうる点は、従来の運用と大きく異なります。

通信情報の取得と独立監視機関

能動的サイバー防御の実効性を支えるのが、通信情報の取得です。取得方法には2つの類型があります。1つは基幹インフラ事業者等との協定、つまり同意に基づく取得です。もう1つは同意によらない取得で、外国が関係する通信を対象に、独立機関である「サイバー通信情報監理委員会」の事前承認を得て行われます（参照*8）。

憲法が保障する「通信の秘密」との関係上、政府が自由に通信の中身を閲覧できる仕組みにはなっていません。同意によらない取得では、あくまで外国関連の通信に限定され、独立した第三者機関が事前にチェックする手続きが組み込まれています。サイバー通信情報監理委員会は2026年4月1日に設置されるため、施行前から監視体制の運用準備が始まります。

アクセス・無害化措置の要件

3つの柱の中でも特に踏み込んだ措置が、攻撃者が悪用しているサーバーなどへのアクセスと無害化です。政府がサイバー空間上、あるいは物理的に存在する攻撃用サーバーに対して直接アクセスし、その機能を停止させることが法的に認められました（参照*1）。

この措置は国家が実行する行為であるため、民間企業が自ら攻撃元に反撃できるわけではありません。企業側に求められるのは、攻撃の兆候やインシデント情報を正確かつ迅速に政府へ報告し、無害化措置の判断材料を提供することです。報告が遅れれば攻撃元の特定と対処も遅れるため、企業の報告体制と政府の無害化措置は表裏一体の関係にあります。

企業が負う義務と罰則

直接義務を負う基幹インフラ事業者

サイバー対処能力強化法のもとで、届出やインシデント報告といった義務を直接負うのは、電力・ガス・通信・金融などの基幹インフラ事業者です。新たな義務の直接対象は、こうした基幹インフラ事業者が中心になるとされています（参照*7）。

義務に違反した場合の罰則も明確に定められています。報告義務を怠り、政府からの是正命令にも従わない場合は200万円以下の罰金が科される可能性があります。虚偽の報告や資料提出の拒否に対しては30万円以下の罰金が設けられました。さらに秘密の不正な利用や漏えいについては2年以下の拘禁刑または100万円以下の罰金という刑事罰も規定されています（参照*9）。罰金額だけを見れば大きくないように感じるかもしれませんが、刑事罰が含まれている点は企業の法務部門にとって見落とせない要素です。

サプライチェーン企業への間接影響

直接義務の対象は基幹インフラ事業者が中心ですが、その取引先である中堅・中小企業にも間接的な影響が及びます。自社が重要インフラに該当しなくても、取引先が該当する場合にはサプライチェーン上の責任として連携が求められる可能性があります（参照*5）。

企業対応の観点では、委託運用体制を含むシステムの実態把握、外部連携、そして迅速なインシデント報告体制の構築が課題として挙げられています。法律では、届出対象としてVPNやファイアウォール、認証サーバー、クラウドサービスが例示されており、製品名、製造者、ネットワーク構成などを含めて所管大臣へ届け出る仕組みが検討されています（参照*10）。

施行に向けた企業の実務対応

IT資産の棚卸しと届出準備

施行に向けて最初に取り組むべきは、自社が保有・運用するシステムやサーバーの棚卸しです。「特定重要電子計算機」は、そのサイバーセキュリティが害された場合に、特定重要設備の機能が停止し、又は低下するおそれがある電子計算機」とされています（参照*8）。

自社のどのシステムがこの定義に該当するかを洗い出すためには、サーバーやネットワーク機器の型番、ソフトウェアの製造元、ネットワーク構成図といった情報を一覧化する作業が欠かせません。届出対象の例としてVPN、ファイアウォール、認証サーバー、クラウドサービスなどが挙げられているため、これらを起点に棚卸しを進めると対象の見落としを減らせます。

報告フローと社内体制の整備

インシデント報告の義務化に備え、「誰が、いつ、どこへ報告するか」を文書化しておく必要があります。業務に直接影響が出ていなくても報告対象となるため、基幹インフラ事業者やその委託先には、サイバー攻撃の検知、報告、対処のための新たな体制が必要になります（参照*10）。

社内では、現場から担当部門、経営層までの情報伝達ルートを明確にし、取引先や関係機関への連絡先も一覧にまとめておくことが重要です。官民連携基盤については、2026年夏頃を目途にインシデント報告機能の先行運用が始まり、その後段階的に本格運用へ移行する想定です（参照*11）。

ログ管理・相談先の確保

インシデント発生時に「いつ、何が起きたか」を後から追えるよう、主要システムのアクセスログや操作ログを適切な期間保全することも企業対応の柱の1つです。ログはインシデント時の証跡提出に直結するため、保存期間や保存場所をあらかじめ定めておく必要があります（参照*12）。

加えて、サプライチェーンの棚卸しも実務上欠かせません。自社が誰の委託先で、誰に委託しているかを整理し、基幹インフラ事業者やその系列との取引がある場合は契約上のセキュリティ要件を確認することが推奨されています。外部の相談先としては、所管省庁や業界のセキュリティ団体などを事前にリストアップし、有事の際にすぐ連絡できる状態にしておくことが、初動の遅れを防ぐうえで有効です。

対応を怠った場合のリスクと注意点

企業対応を怠った場合のリスクは、罰則だけにとどまりません。報告を怠り是正命令にも従わない場合は200万円以下の罰金、資料提出等に応じない場合は30万円以下の罰金、秘密の不正な利用や漏えいについては2年以下の拘禁刑または100万円以下の罰金が科されます（参照*8）。法的制裁に加え、対応の遅れは取引先からの信用低下にもつながります。

サプライチェーンの観点でも影響は波及します。政府は、大企業や重要インフラ事業者の防御が強固になっても、その取引先を踏み台にした攻撃が防げなければ意味がないと結論づけています（参照*9）。一方で、政府側にはインシデントを報告すると行政処分の対象になるのではないかという民間企業の懸念を払拭する必要があるとも指摘されています（参照*10）。報告が萎縮につながらないよう、制度運用の透明性が今後の焦点となります。

おわりに

サイバー対処能力強化法は、能動的サイバー防御という新たな枠組みを法制度として日本に根付かせる転換点です。基幹インフラ事業者には直接の届出・報告義務が生じ、サプライチェーン企業にも契約や運用面での対応が求められます。

2026年10月1日の施行を見据え、IT資産の棚卸し、報告フローの文書化、ログ管理の見直しといった実務対応を早期に進めておくことが、自社と取引先の双方を守る第一歩となります。

お知らせ

能動的サイバー防御やサイバー対処能力強化法への対応では、制度理解だけでなく、ログ管理、インシデント対応、ネットワーク・インフラの設計運用など、現場で実装できるスキルが重要になります。インフラエンジニアとしての業務範囲や求められるスキルを整理しながら、今後の案件選びやキャリア形成に活かしていきましょう。

cyseekではフリーランスのITエンジニア向けの案件をご紹介しています。案件に関する新着情報は、以下のリンクからご覧いただけます。

参照

cyseekはサイバーセキュリティ人材向けの案件紹介サービスサイトです。

サイバーセキュリティ業界に精通したエージェントが求人紹介、年収交渉、キャリアアップの実現など、採用課題の整理から稼働後のフォローまでトータルにサポートするほか、保有するノウハウを活かしフリーランスやサイバーセキュリティ人材に向けたコラムを発信しています。