1. はじめに
重要インフラほか、あらゆる産業を対象にしたサイバー攻撃は、国家全体に係るリスクとして顕在化しています。こうした状況を踏まえ、日本政府は2025年春、「能動的サイバー防御(Active Cyber Defense:ACD)」を実現すべく、「サイバー対処能力強化法」(重要電子計算機に対する不正な行為による被害の防止に関する法律)を成立させました(2026年1月時点で段階的に施行中)。従来の受動的防御中心の政策から、脅威を未然に排除する枠組みへと転換したことは、企業のセキュリティ戦略にも影響を与えます。
本稿では、能動的サイバー防御の制度化の背景と概要を整理し、企業が取るべき実務的な対応について解説します。
2. 制度化の背景
サイバー対処能力強化法は、官民連携の強化、通信情報の利用、攻撃者サーバ等に対するアクセス・無害化措置などを柱とし、動的サイバー防御を導入するための法律となります。1)
出典:国家サイバー統括室 リーフレット「みんなで備えよう。新・サイバー防御、はじまる」p3上段(閲覧日:2025/1/9)
法整備に至った背景には、高度化した国際的なサイバー攻撃の急増があります。米国や欧州で国家関与型攻撃への対策として能動的サイバー防御の議論が進む中、日本も、基幹インフラへの攻撃が相次いでいることを受け、他国の領域を侵害しないことや対応の過剰性を避けるといった国際法上の論点を踏まえつつ、サイバー攻撃の脅威への積極的な対応を可能にする制度設計を迫られました。2)
同法で求められる措置を整理すると、おおむね下図のイメージとなります。
内閣官房国家サイバー統括室「サイバー対処能⼒強化法及び同整備法について(資料1-3)(令和7年9⽉)」(閲覧日:2025/1/9)を参考に弊社が独自に作成
能動的サイバー防御は、上図に登場する政府機関や重要インフラ事業者のみの課題ではありません。サイバー攻撃は取引先や委託先を経由して行われることが珍しくないため、サイバー対処能⼒強化法施行を機に官民連携や情報共有の枠組みが整備されることで、取引関係やサプライチェーン全体に対して、より高いセキュリティレベルが求められます。重要インフラに該当しない企業も、事業継続のためには、同法の趣旨に沿った体制整備や情報管理の強化に取り組むことが不可避と言えます。
1) 内閣官房国家サイバー統括室「サイバー対処能⼒強化法及び同整備法について(資料1-3)(令和7年9⽉)」(閲覧日:2025/1/9)を参考に記載
2) 調査局調査員 大塚 華・鷲谷 佳佑(内閣調査室)/衆議院事務局委員部第三課 西野 広樹(前内閣調査室)「サイバー対処能力強化法及び同整備法について―能動的サイバー防御の導入―(RESEARCH BUREAU 論究(第22号)(2025.12)」(閲覧日:2025/1/9)を参考に記載
3. 企業に求められる対応
では、企業はまず何をすべきでしょうか。
外部と接しているネットワーク境界で侵入を防ぐ、従来型の「境界防御」だけでは、攻撃を防ぐことが難しくなっています。昨今の攻撃は、まず標的を探し、その弱点を突いて侵入した後、ネットワーク内で権限を奪いながら侵害を広げていくというパターンが主流であり、ひとたび外部境界を突破されると、攻撃による被害は企業ネットワーク全体へと急速に拡大する恐れがあるためです。
この現実を踏まえ、能動的サイバー防御においては、「兆候を早期に捉え、迅速に対応する仕組み」が不可欠です。参考となるのが、「政府機関等のサイバーセキュリティ対策のための統一基準(令和7年度版)」です。政府機関等の情報セキュリティ水準を維持・向上させるための枠組みですが、サプライチェーンの一員として企業が参考にすべき基準です。3)
企業が取り組むべき重点対策の例として、下図の3点が考えられます。
内閣官房国家サイバー統括室「政府機関等のサイバーセキュリティ対策のための統一基準(令和7年度版)(令和7年6月27日)」(閲覧日:2025/1/9)を参考に弊社が独自に作成
3) サイバーセキュリティ戦略本部(内閣官房国家サイバー統括室)「政府機関等のサイバーセキュリティ対策のための統一基準(令和7年度版)(令和7年6月27日)」(閲覧日:2025/1/9)を参考に記載
4. 着手可能な対応の例
さて、前述の3点すべてをいきなり実践するのは難しい場合もあるでしょう。そこで、まず着手しやすい対策を段階的に進めるためのヒントを示します。リソースが限られているとしても、まずは可能なことから開始することが肝心です。少しずつでも対策を推進することが、セキュリティ対策の成熟度を高め、リスクの低減につながります。
(1) 監視体制の強化に向けたソリューションの導入
SOC(Security Operation Center)、SIEM(Security Information and Event Management)、EDR(Endpoint Detection and Response)といったソリューションを可能な範囲で組み合わせ、ネットワーク全体とエンドポイント双方における24時間監視・異常検知を目指します。
【重要性】
攻撃・インシデントは常に発生する可能性があり、検知の遅れは被害の拡大に直結します。
【対応例】
(2) ゼロトラストの導入に向けた脆弱性診断とペネトレーションテストの実施
ゼロトラスト導入を検討するにあたって、まずは現状のセキュリティ上の弱点を把握し、自組織が攻撃を受ける可能性のあるポイントを知る必要があります。脆弱性診断やペネトレーションテストを実施し、その結果を踏まえてアクセス制御や認証強化を進めます。
【重要性】
増加する多様な攻撃に対する備えとして、リスクベースによるセキュリティ対策の優先度付けが必要となります。
【対応例】
(3) 脅威インテリジェンス活用に向けた第三者監査の実施
脅威インテリジェンスを活用するには、対応プロセスや委託先管理などの統制が機能していることが不可欠です。第三者視点で評価し、改善の優先度を明確にします。
【重要性】
内部監査の不備が重大リスクを招いた事例が報告されており4)、外部視点の評価は取引継続や賠償回避に直結します。
【対応例】
5. 終わりに
国家が能動的防御へ転じる以上、企業も「攻めの防御」を前提に統制を再設計する必要があります。特に、情報資産管理、リスク評価、委託先管理、インシデント対応、AIリスクへの対応状況を客観的に評価することは、取引継続やレジリエンス確保の鍵です。そのための有効な手段が「システム監査」です。監査は、技術的対策とガバナンスの両面を確認し、改善の優先度を明確にします。SOCやSIEM、脆弱性診断、EDRといった技術的対策を監査と一体で進めることで、「守り」と「攻め」を両立できます。
三優監査法人では、こうした監査と技術強化を組み合わせたサービスを提供し、段階的に成熟度を高めるためのご支援を行っています。何から手を着けるべきか迷っておられる場合も、まずはお気軽にご相談ください。
Contact Us - BDO
重要インフラほか、あらゆる産業を対象にしたサイバー攻撃は、国家全体に係るリスクとして顕在化しています。こうした状況を踏まえ、日本政府は2025年春、「能動的サイバー防御(Active Cyber Defense:ACD)」を実現すべく、「サイバー対処能力強化法」(重要電子計算機に対する不正な行為による被害の防止に関する法律)を成立させました(2026年1月時点で段階的に施行中)。従来の受動的防御中心の政策から、脅威を未然に排除する枠組みへと転換したことは、企業のセキュリティ戦略にも影響を与えます。
本稿では、能動的サイバー防御の制度化の背景と概要を整理し、企業が取るべき実務的な対応について解説します。
2. 制度化の背景
サイバー対処能力強化法は、官民連携の強化、通信情報の利用、攻撃者サーバ等に対するアクセス・無害化措置などを柱とし、動的サイバー防御を導入するための法律となります。1)
出典:国家サイバー統括室 リーフレット「みんなで備えよう。新・サイバー防御、はじまる」p3上段(閲覧日:2025/1/9)
法整備に至った背景には、高度化した国際的なサイバー攻撃の急増があります。米国や欧州で国家関与型攻撃への対策として能動的サイバー防御の議論が進む中、日本も、基幹インフラへの攻撃が相次いでいることを受け、他国の領域を侵害しないことや対応の過剰性を避けるといった国際法上の論点を踏まえつつ、サイバー攻撃の脅威への積極的な対応を可能にする制度設計を迫られました。2)
同法で求められる措置を整理すると、おおむね下図のイメージとなります。
内閣官房国家サイバー統括室「サイバー対処能⼒強化法及び同整備法について(資料1-3)(令和7年9⽉)」(閲覧日:2025/1/9)を参考に弊社が独自に作成
能動的サイバー防御は、上図に登場する政府機関や重要インフラ事業者のみの課題ではありません。サイバー攻撃は取引先や委託先を経由して行われることが珍しくないため、サイバー対処能⼒強化法施行を機に官民連携や情報共有の枠組みが整備されることで、取引関係やサプライチェーン全体に対して、より高いセキュリティレベルが求められます。重要インフラに該当しない企業も、事業継続のためには、同法の趣旨に沿った体制整備や情報管理の強化に取り組むことが不可避と言えます。
1) 内閣官房国家サイバー統括室「サイバー対処能⼒強化法及び同整備法について(資料1-3)(令和7年9⽉)」(閲覧日:2025/1/9)を参考に記載
2) 調査局調査員 大塚 華・鷲谷 佳佑(内閣調査室)/衆議院事務局委員部第三課 西野 広樹(前内閣調査室)「サイバー対処能力強化法及び同整備法について―能動的サイバー防御の導入―(RESEARCH BUREAU 論究(第22号)(2025.12)」(閲覧日:2025/1/9)を参考に記載
3. 企業に求められる対応
では、企業はまず何をすべきでしょうか。
外部と接しているネットワーク境界で侵入を防ぐ、従来型の「境界防御」だけでは、攻撃を防ぐことが難しくなっています。昨今の攻撃は、まず標的を探し、その弱点を突いて侵入した後、ネットワーク内で権限を奪いながら侵害を広げていくというパターンが主流であり、ひとたび外部境界を突破されると、攻撃による被害は企業ネットワーク全体へと急速に拡大する恐れがあるためです。
この現実を踏まえ、能動的サイバー防御においては、「兆候を早期に捉え、迅速に対応する仕組み」が不可欠です。参考となるのが、「政府機関等のサイバーセキュリティ対策のための統一基準(令和7年度版)」です。政府機関等の情報セキュリティ水準を維持・向上させるための枠組みですが、サプライチェーンの一員として企業が参考にすべき基準です。3)
企業が取り組むべき重点対策の例として、下図の3点が考えられます。
内閣官房国家サイバー統括室「政府機関等のサイバーセキュリティ対策のための統一基準(令和7年度版)(令和7年6月27日)」(閲覧日:2025/1/9)を参考に弊社が独自に作成
3) サイバーセキュリティ戦略本部(内閣官房国家サイバー統括室)「政府機関等のサイバーセキュリティ対策のための統一基準(令和7年度版)(令和7年6月27日)」(閲覧日:2025/1/9)を参考に記載
4. 着手可能な対応の例
さて、前述の3点すべてをいきなり実践するのは難しい場合もあるでしょう。そこで、まず着手しやすい対策を段階的に進めるためのヒントを示します。リソースが限られているとしても、まずは可能なことから開始することが肝心です。少しずつでも対策を推進することが、セキュリティ対策の成熟度を高め、リスクの低減につながります。
(1) 監視体制の強化に向けたソリューションの導入
SOC(Security Operation Center)、SIEM(Security Information and Event Management)、EDR(Endpoint Detection and Response)といったソリューションを可能な範囲で組み合わせ、ネットワーク全体とエンドポイント双方における24時間監視・異常検知を目指します。
【重要性】
攻撃・インシデントは常に発生する可能性があり、検知の遅れは被害の拡大に直結します。
【対応例】
- 最初の一歩:主要システムから、マネージドSOCやクラウド型SIEM、EDRを利用した監視体制を確保する。
- 次のステップ:SLA(Service Level Agreement)やインシデント対応手順書で「検知→封じ込め→報告」の手順を明文化し、定期的に演習を実施する。
(2) ゼロトラストの導入に向けた脆弱性診断とペネトレーションテストの実施
ゼロトラスト導入を検討するにあたって、まずは現状のセキュリティ上の弱点を把握し、自組織が攻撃を受ける可能性のあるポイントを知る必要があります。脆弱性診断やペネトレーションテストを実施し、その結果を踏まえてアクセス制御や認証強化を進めます。
【重要性】
増加する多様な攻撃に対する備えとして、リスクベースによるセキュリティ対策の優先度付けが必要となります。
【対応例】
- 最初の一歩:外部公開システムを対象に定期的な脆弱性スキャンを計画・実施。
- 次のステップ:権限奪取型のシナリオを含むペネトレーションテストを実施し、リスク評価に反映。
(3) 脅威インテリジェンス活用に向けた第三者監査の実施
脅威インテリジェンスを活用するには、対応プロセスや委託先管理などの統制が機能していることが不可欠です。第三者視点で評価し、改善の優先度を明確にします。
【重要性】
内部監査の不備が重大リスクを招いた事例が報告されており4)、外部視点の評価は取引継続や賠償回避に直結します。
【対応例】
- 最初の一歩:まずは、ISMS(ISO/IEC 27001)認証監査やSOC 2 Type Iなど、標準化されたフレームワークに沿った監査で全体の成熟度を把握します。
- 次のステップ:ISMAP(政府が求めるセキュリティ要求を満たしたクラウドサービスを登録する制度)など、より特定領域に焦点を当てた評価の実施。または、AIリスク監査、ゼロトラスト実装状況、サプライチェーンセキュリティなど、ISMSでカバーしていない深度のリスク領域を対象とした評価を実施します。
5. 終わりに
国家が能動的防御へ転じる以上、企業も「攻めの防御」を前提に統制を再設計する必要があります。特に、情報資産管理、リスク評価、委託先管理、インシデント対応、AIリスクへの対応状況を客観的に評価することは、取引継続やレジリエンス確保の鍵です。そのための有効な手段が「システム監査」です。監査は、技術的対策とガバナンスの両面を確認し、改善の優先度を明確にします。SOCやSIEM、脆弱性診断、EDRといった技術的対策を監査と一体で進めることで、「守り」と「攻め」を両立できます。
三優監査法人では、こうした監査と技術強化を組み合わせたサービスを提供し、段階的に成熟度を高めるためのご支援を行っています。何から手を着けるべきか迷っておられる場合も、まずはお気軽にご相談ください。
Contact Us - BDO