能動的サイバー防御とは？関連法の概要と企業の対応義務を解説

能動的サイバー防御とは、国や重要インフラなどに対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、未然に排除して積極的に対応するための戦略のことです。

2022年12月の閣議決定による国家安全保障戦略では、以下のように定義されています。

同法案は、2025年2月に閣議決定、同年5月の参議院本会議で成立に至りました。今後、2026年から2027年にかけて段階的に施行される予定です。

能動的サイバー防御に関連する法律は、以下の2つで構成されています。

正式名称	通称	概要
重要電子計算機に対する不正な行為による被害の防止に関する法律	サイバー対処能力強化法（強化法）	官民連携 通信情報の強化
重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律	サイバー対処能力強化法整備法（整備法）	アクセス・無害化措置 組織・体制整備等

これらの法律により、ガスや電気、水道、金融、物流といった基幹インフラ事業者がサイバー攻撃を受けた際などに、政府への情報共有が義務付けられます。

政府も民間事業者に対して、サイバーセキュリティの確保に必要な情報を提供することも定められるなど、官民連携の強化が実施される運びとなりました。政府は通信事業者から通信情報を取得して分析を行い、サイバー攻撃による被害の拡大防止に有益な情報を事業者へフィードバックする取り組みみを進めることとなります。

また、攻撃サーバーの特定後、警察・自衛隊が設備にアクセスして無害化を行う体制も導入されます。

これまで、サイバーセキュリティ対策の実施は、官と民それぞれで取り組んでいました。しかし、能動的サイバー防御の関連法設立により、官民による協力が重視されるようになった点が大きな違いだといえます。

また、従来のNISC（内閣サイバーセキュリティセンター）を改組し、内閣サイバー官を長とする「国家サイバー統括室（NCO：National Cybersecurity Office）」が設置され、司令塔としての役割を担う体制へと転換しています。

能動的サイバー防御に関する法律が制定され、サイバー対処能力の向上が求められる背景として、サイバー攻撃の巧妙化・深刻化が挙げられます。

サイバー攻撃には、重要インフラへの侵入や身代金要求、アクセス権限の不正取得といった多様な手口が用いられます。防御側の対応が後手に回らざるを得ないことから、攻撃者が相対的に優位に立つ傾向が強いといえるでしょう。

そのようなリスクを背景に、重要なインフラの停止が特に懸念されています。例えば、2024年12月の年末、日本航空がサイバー攻撃に狙われシステムに不具合が生じ、4便が欠航し、71便に遅れが生じて、復旧に6時間かかる事態に陥りました。

また、同じく2024年の年末、三菱UFJ銀行のネットバンキングシステムがサイバー攻撃の被害に遭い、個人・法人顧客がスマートフォンやPCからネットバンキングを利用できない事態も発生しています。

昨今、クラウドサービスの停止や個人情報流出といった被害にとどまらず、交通や金融など、人々の生活や経済活動に直結する分野にも影響を及ぼすリスクが高まっている状況です。

そこで、サイバー対処能力を高度化するために、国が率先して企業と連携し、国民生活や経済活動の基盤、安全を守る能動的なサイバー防御を実施する法律や体制の整備に至りました。

能動的サイバー防御に関する法律では、基幹インフラ事業者（特定社会基盤事業者）として指定された民間企業が直接的な影響を受けることとなります。例えばサイバー攻撃が起こった場合に、特定社会基盤事業者には国に対する報告義務があります。

特定社会基盤事業者として、経済安全保障推進法にもとづき以下の15分野から合計249社が指定されており、次表はその一覧をまとめたものです。

特定社会基盤事業の種類
電気（48社）	ガス（25社）	石油（18社）
水道（23社）	鉄道（5社）	貨物自動車運送（3社）
外航海運（3社）	港湾（32社）	航空（2社）
空港（6社）	電気通信（10社）	放送（6社）
郵便（1社）	金融（59社）	クレジットカード（8社）

※2025年7月31日現在

特定の社会インフラを担う事業者のうち、設備停止や性能低下などによりインフラサービスの安定提供が困難になると、国や国民の安全に深刻な影響を与えるリスクが大きい企業が、特定社会基盤事業者に選ばれています。

なお、自社や取引先が特定社会基盤事業者として指定されているかどうかは、こちらのサイトで確認が可能です。

能動的サイバー防御に関する法律は、主に以下の4つの要素で構成されています。法律の全体像は、以下の通りです。

図のピンク色で示されている「強化法（サイバー対処能力強化法）」は、官民が連携し、国が通信情報の利用（取得・分析）を行うための法的な根拠となります。

緑色の「整備法（サイバー対処能力強化法整備法）」は、攻撃されたサーバーなどの設備に対して、警察・自衛隊によるアクセスや無害化措置を可能とするものです。また、能動的サイバー防御に関する取り組みみを実現するための組織・体制整備についても定められています。

これら2つの法律の要素にもとづき、特定社会基盤事業者は、次章で解説する対応が義務付けられます。

ここからは、特定社会基盤事業者に求められる対応について解説します。

特定社会基盤事業者は、特定重要電子計算機の導入時には、製品名などについて事業所管大臣へ届出が必要です。その後、届出の共有事項は内閣総理大臣に通知されます。

内閣官房国家サイバー統括室によると、特定重要電子計算機とは「サイバー攻撃を受けた場合に、特定重要設備の機能が停止、または低下するおそれがある一定の電子計算機」のことです。詳細については、今後、事業者などとの協議を経て業態別に明確化する方針です。

特定重要電子計算機が不正アクセスの被害にあうといったインシデントが発生した場合、情報共有のために報告が義務付けられます。内閣総理大臣はさらなる被害拡大の防止に向け、特定社会基盤事業者を含めて協議会を設置し、情報共有や対策を協議する流れです。

企業は、攻撃の予兆が確認され次第、政府に対して速やかに報告を行う体制を構築しておく必要があるでしょう。

また、特定重要電子計算機に脆弱性が認められた場合、事業所管大臣はベンダーに対して必要な措置を講じるよう要請できます。たとえ自社が特定社会基盤事業者として指定されていない場合でも、ベンダー側で対応が必要になるケースも想定されます。

強化法第12章では、罰則について定められています。

罰則
行政職員及び協議会構成員等による秘密の不正な利用・漏えいの行為	2年以下の拘禁刑または100万円以下の罰金
基幹インフラ事業者がインシデント報告等を行わず、是正命令を受けてもなお対応しない場合	200万円以下の罰金
基幹インフラ事業者がインシデント報告等に関連し、資料提出等を求められても対応しない場合	30万円以下の罰金

特定社会基盤事業者をはじめとする関係者は罰則規定があることを事前に把握し、適切に対応することが求められます。

能動的サイバー防御を実施する上で、特定社会基盤事業者のみならず、他の民間企業にも影響が及ぶ可能性が想定されます。

ここからは、3つの問題点について解説します。

能動的サイバー防御に関連する法律の対象者は、重要なインフラなどを取り扱う特定社会基盤事業者です。しかし、その取引先や関連企業にも影響が及ぶ可能性も想定されます。

昨今、セキュリティ対策が脆弱な関連企業などを踏み台にして、大企業を狙うサプライチェーン攻撃が横行しています。サプライチェーンが攻撃された場合、今回の法律にもとづき報告義務などが発生するかどうかは、現時点（2025年10月時点）で定かではありません。

しかし、対応が必要になった場合を想定し、あらかじめ体制を整えておく必要があるでしょう。

上記のように、自社が特定社会基盤事業者として指定されていない場合でも、自社システムが政府のアクセス・無害化措置の対象となるケースが想定されます。また、セキュリティ製品の過検知により、アクセス・無害化措置の対象になる可能性も否定できません。

政府による対応が行われた場合、自社システムが利用できず業務の一時停止するリスクがあるでしょう。

そのような事態に備え、たとえ特定社会基盤事業者ではなくとも適切なセキュリティ対策を行い、自社がサイバー攻撃に狙われないよう体制を整備しておくことが重要です。

過検知への対策を例に挙げると、SIEM^※1やXDR^※2のようなログを一元管理できるセキュリティソリューションの導入が推奨されます。

※1 SIEM：「Security Information and Event Management」の略語で、ネットワーク機器を含むあらゆるIT機器から大量のログを収集・一元管理し、相関分析を実施するシステム。

※2 XDR：「Extended Detection and Response」の略語で、複数のセキュリティレイヤーからログを収集して脅威を検出し、分析や自動対処を行うシステム。

関連記事
XDRとは？EDRとの違い、セキュリティ機能やメリットを紹介

インシデント発生後、企業には以下の報告義務が求められます。

義務内容	法的根拠	報告・協力先	事業者が取るべき主要なアクション
重要電子計算機の導入届出	強化法 第4条	所管大臣 内閣総理大臣	指定された「重要電子計算機」を特定し、導入時に報告するための社内プロセスを確立する。
インシデント・予兆の報告	強化法 第5条	所管大臣 内閣総理大臣	侵害だけでなく、その予兆となり得る活動を検知するための監視体制を強化し、迅速な報告ルートを整備する。
協議会への参加・協力	強化法 第45条	政府主導の 協議会	協議会への参加担当者を指名し、共有されるインテリジェンスを受領・活用し、政府の要請に対応する手順を確立する。
脆弱性への対応	強化法 第42条	製品・サービス供給者、所管大臣	政府からの脆弱性通知や供給者からのパッチ提供要請を受領し、迅速に対応するためのプロセスを開発する。
協定にもとづく情報提供	強化法 第11条	内閣総理大臣 （内閣官房）	政府に通信メタデータを提供するための協定締結の是非を評価し、締結する場合はそのための技術的・法的手続きを整備する。

現時点（2025年10月時点）において、具体的な報告ルール・様式を定める政令や省令などは未整備です。

しかし、インシデント発生時には、速やかな届出・報告が求められ、報告手順や提出資料の作成が煩雑化し、担当部門の負担が増大する懸念も想定されます。平時からIT資産を可視化して適切に管理し、報告フローや責任分担を定めておくことで、対応の遅れや混乱を防げるでしょう。

関連記事
IT資産管理とは？IT資産管理ツールに求められる機能や選定のポイントを解説

NTTドコモビジネスの「CRX（Cyber Resilience Transformation）ソリューション」は、ゼロトラスト^※3と運用DXの組み合わせにより、サイバーレジリエンスを高め、インシデントの発生後も迅速に回復し、事業継続を実現するソリューションです。

サイバー攻撃の特定から防御、検知、対応、復旧まで網羅的なセキュリティ対策を実施できる点が特長です。ネットワークにつながるデバイスやクラウドサービスなどを可視化し、管理対象を特定します。適切なセキュリティ対策を施すことでサイバー攻撃から防御し、インシデントを検知。検知後は、迅速に対応して復旧と再発防止を行う仕組みを導入できます。

国内だけでなく海外拠点も含め一元管理し、ITはもちろんOT（Operational Technology）やIoT（Internet of Things）もカバー可能です。また、AIを活用することで、検知の精度向上や自動化を実現。IT部門の負荷も抑制できます。

企業全体でガバナンスを効かせて一元管理を行うため、安心して利用できるICT環境の実現をサポートします。

加えて、NTTドコモビジネスは総合リスクマネジメントサービス「WideAngle」も展開。これは、企業のセキュリティ管理体制の整備や運用について、プロの知見を提供するサービスです。セキュリティオペレーションセンターにおいて専門家が24時間365日高度なセキュリティ監視を行います。

このようなサービスを導入してあらかじめセキュリティ体制を整えておくことで、担当者の負担を軽減し、インシデント発生後の報告義務へのスムーズな対応が実現するでしょう。

●「能動的サイバー防御の法律が成立したことを受け、資産管理を適切に行いセキュリティ対策を強化したい」
●「外部脅威だけでなく内部脅威にも備えたい」

このような課題がある場合、NTTドコモビジネスへご相談ください。お客さまの課題やご要望に合わせて、モデルケースを準備しています。詳しくは、以下のリンクもぜひご一読ください。

※3 ゼロトラスト：「何も信頼しない」を前提として対策を進めるセキュリティの考え方。

本記事では、官民連携による能動的サイバー防御という新たな枠組みや、関連する法律について解説しました。

能動的サイバー防御の法制化により、企業が講じるべきセキュリティ対策は新たな段階を迎えました。そのような背景の中、NTTドコモビジネスの「CRXソリューション」は、最新法令への対応とサイバーレジリエンス強化を両立できる新しい選択肢です。

いつでも安心して利用できるICT環境の実現に向けて、NTTドコモビジネスがサポートします。サービスについてさらに詳しく知りたい方は、以下のリンクよりお気軽にご相談ください。