能動的サイバー防御法の概要
2026年10月施行予定のサイバー対処能力強化法(通称:能動的サイバー防御法)は、国家レベルのサイバーセキュリティ体制を抜本的に強化する法律です。従来の「受動的防御」(攻撃を受けてから対応)から、攻撃を未然に防ぐ「能動的防御」への転換を図ります。
本法は2025年の通常国会で成立し、公布から1年6ヶ月以内の施行が予定されています。
3つの柱
1. 官民連携の強化
基幹インフラ事業者(電力、通信、金融、交通、医療等)に対し、以下の義務が課されます。
- サイバーインシデントの報告義務: 重大なサイバー攻撃を受けた場合、政府への速やかな報告が必要
- 情報共有: 攻撃の手口・脆弱性情報を官民で共有する仕組みの構築
- 対象事業者: 電気通信事業者、電力会社、銀行、鉄道事業者、医療機関等
2. 通信情報の利用
サイバー攻撃の兆候を検知するため、政府が通信のメタデータ(IPアドレス、通信先等)を分析する権限が認められます。
- 通信の「内容」は対象外(憲法21条の通信の秘密を保護)
- メタデータの分析に限定
- サイバー通信情報監理委員会(独立機関)が監視・審査
3. 攻撃サーバーの無害化措置
国が攻撃元のサーバーに対し、アクセス・無害化措置(マルウェアの除去等)を行う権限が認められます。
- 実施主体: 警察・自衛隊
- 事前に独立機関の審査が必要
- 国内外のサーバーが対象
- 緊急時には事後審査も可能
企業に求められる対応
基幹インフラ事業者
| 対応事項 | 内容 |
|---|---|
| インシデント報告体制 | 24時間以内の初動報告体制を整備 |
| 情報共有体制 | ISAC等の業界情報共有組織への参加 |
| セキュリティ対策基準 | 政府が定める基準への適合 |
一般企業
基幹インフラ事業者以外の企業にも、以下の対応が推奨されます。
- サプライチェーン経由の攻撃に備えたセキュリティ体制の強化
- インシデント対応計画の策定・定期的な訓練
- 取引先が基幹インフラ事業者の場合、セキュリティ要件への対応
個人への影響
一般個人への直接的な義務は課されませんが、通信メタデータの政府利用についてはプライバシーへの影響が議論されています。独立機関による監視と、通信内容は対象外とする制限により、通信の秘密とのバランスが図られています。
