2025年、「能動的サイバー防御（Active Cyber Defense：ACD）」にまつわる法律が可決・成立したことを皆さんはご存じでしょうか。サイバー攻撃を未然に防ぐことを目的に制定された同制度により、日本でも国家レベルでの“先制的なサイバー防御”が本格化していく──そんな未来が予想されます。

この記事では、重要インフラ事業者だけでなく、関連システムを持つ民間企業にも体制の整備が求められる中、情シスが知っておくべき制度の概要と、企業として取るべき実務対応のポイントを解説します。

「能動的サイバー防御（ACD）」とは？ 何がどう変わるのか？

2025年5月16日、参議院本会議で可決された「サイバー対処能力強化法及び同整備法」。同月23日の公布をもって、日本のサイバーセキュリティ政策は、大きな転換点を迎えました。サイバー犯罪が増加・巧妙化し、大きな被害の例も報告される中で、被害の発生・拡大前に動き出す「能動的サイバー防御（ACD）」体制の整備が大きく前に進んだのです。

政府作成のリーフレットでは、そのポイントとして以下の三つを掲げています。

1.官民連携の強化

重要インフラ企業による政府への報告を義務化し、情報の広域活用を進めます。

・電力・通信・交通・医療などの重要社会基盤事業者が、不正アクセス行為等により特定重要電子計算機のサイバーセキュリティが害されたこと又はその原因となり得る一定の事象を認知したときに、政府への報告が法的義務に
・報告情報は、政府と関係機関によって統合・分析され、広域の傾向や攻撃手法が可視化
・分析結果はほかの事業者にもフィードバックとして展開され、各企業が自社防衛力の底上げ可能に

2.通信情報の利用

通信事業者からのデータ提供により、攻撃の兆候を早期検知します。

・通信事業者が持つネットワークトラフィックやログなど通信情報の一部を、政府が機械的に取得・分析
・攻撃用インフラの実態や攻撃基点の把握を通して、サイバー攻撃への未然・即座の対処に利用
・第三者の独立監視機関によるチェックを経て、適正な運用を確保

3.攻撃サーバーの無害化

サーバーなど攻撃の発信源そのものに国家が直接対処します。

・警察・自衛隊が、攻撃を発信するサーバーや端末に対してアクセス
・警察・自衛隊の可能な対処に“監視”だけでなく、不正なプログラムの停止などの‟無害化”まで含まれるように
・あくまで独立機関の承認を経て行われ、適正性を確保

上記の要件を定義するのが、下記の二つの法律です。

・サイバー対処能力強化法（強化法）
・サイバー対処能力強化法整備法（整備法）

両法は、サイバー空間を「国家の安全保障領域」と位置付け、政府が主導して防御体制を抜本的に強化するものです。とりわけクラウドやリモートワーク環境が高度に普及した現在、重要インフラだけでなく、その周辺に接続される民間システムを提供する事業者やITベンダーなども積極的な連携を求められる可能性があります。

制度の“三つの柱”と、チェック項目を明快に整理

「能動的サイバー防御（ACD）」により、サイバー防御における官民連携が強化される中で、前述の通り、重要インフラ企業のみならず関係する事業者も協力や体制の整備が求められる可能性があります。

ここでは、変化に対し、具体的に企業の情報システム部門がどこで・何に・どのように備えるべきかを分かりやすく整理してご紹介します。

1. 官民連携：企業の“報告責任”が制度で明文化

法改正により、重要インフラ事業者を中心に、政府と民間が定期的に情報交換・脆弱性共有を行う協議体制が制度化されました。

注目すべきは、自社が重要インフラに該当しない場合でも、取引先が該当する場合にはそのサプライチェーン上の責任から連携が求められる可能性がある点です。とくに民間企業においては、「情報通信」、「金融」、「航空」、 「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス（地方公共団体を含む）」、 「医療」、「水道」、「物流」、「化学」、「クレジット」、「石油」および「港湾」の15分野”と接続しているかどうかが重要な判断軸になります。

CHECK LIST

・主要取引先が「重要インフラ15分野」に該当していないか？
・インシデント時の報告経路・責任範囲を明文化しているか？

2. 通信情報の活用：国外通信・中継ログが法の対象に

今回の法制度で大きなインパクトを持つのが、「通信情報の非同意取得」に関する条項です。サイバー通信情報監理委員会の承認を前提に、国外に中継された通信データやログについても取得・分析が可能となりました。

これは、民間企業が保有する通信ログやクラウド通信経路が、能動的防御のための「法的エビデンス」となる可能性を意味します。

CHECK LIST

・通信ログの保存期間・保存方法が、第三者による取得に耐える設計になっているか？
・自社のプライバシーポリシーとシステム設計の間に矛盾はないか？

3. アクセス＆無害化権限：政府による“攻撃元への介入”が合法化

本制度の最も象徴的な点は、国家機関（内閣官房・警察庁・防衛省など）が、攻撃発信元のインフラに対して“直接的な技術的対処”を行うことが可能になる点です。

これはつまり、サイバー攻撃に対し能動的に対処すべく国家がサーバーを遠隔操作で遮断・無力化する措置を取り得るということ。これまでの「検知して報告する」体制から「検知したら止めに行く」体制へと劇的にシフトしています。

CHECK LIST

・インシデント時、いつ・どこまで報告する義務があるかを社内で明文化しているか？
・業務継続計画（BCP）で国家関与を含めたシナリオを検討しているか？

現場実務のための完全ロードマップ

「サイバー対処能力強化法及び同整備法」が2025年5月に公布され、実際の施行までおよそ1年半。制度の構造を理解しただけで満足してはいけません。今、情報システム部門に求められているのは、明日から具体的に何をすべきかを知り、着実に実行に移すことです。

最後に、制度対応に向けたフェーズ別の行動計画を提示しつつ、どの項目をいつ、どう着手すればよいのかを分かりやすくご紹介します。

フェーズ1：初動で行うべき“社内ネットワークの可視化とリスクの棚卸し”

初動でやるべきは、社内ネットワークの可視化とリスクの棚卸しです。

最優先すべきは、自社のネットワーク構成の全体像を図示することです。クラウド、オンプレミス、VPN、IoT機器など、あらゆる通信経路を明確にしましょう。

ここで重要になるのが、国外通信を中継している回線やサービスの存在です。例えば海外リージョンのクラウド、グローバルCDN、海外VPNゲートウェイなどが含まれる場合、それらの通信ログが「取得・分析の対象」になり得ます。

並行して、社内のプライバシーポリシーやデータ取扱規程の見直しも進めましょう。政府による通信ログ取得に関する制度対応と、従業員のプライバシー保護の整合を取るには、ログの保存期間、用途、第三者提供の条件を明確化する必要があります。

フェーズ2：施行前に着手すべき“制度順守の基礎設計”

次に着手すべきは、侵害発生時の報告フローの整備です。例えば、マルウエア感染やDDoS攻撃を受けたといった事態が生じた場合、どのタイミングで誰に報告する必要があるのか、貴社ではACD成立後の状況を踏まえて明確に規定されているでしょうか。

制度上の義務として定められた報告だけでなく、業界協議会や契約ベンダーへの通知も想定しておく必要があります。

また、協議会参加の準備も進めておくべきです。制度下では、2026年秋をめどに企業間での技術情報共有・脆弱性交換を前提とする官民協議会が設置される予定です。自社がどのような立場でその枠組みに参加するか、業界団体やセキュリティベンダーとの連携ルートを確認し、窓口を設けておくことが現実的な一手になります。

並行して、情報の“守り方”と“提供の仕方”を両立する社内ルールの明文化も必要です。例えば、「侵害情報はどの範囲で共有可能か」「第三者に提供する際の匿名化処理は必要か」など、制度と企業ポリシーの橋渡しとなる設計が求められます。

フェーズ3：中長期視点で進める“戦略的防衛の構築”

能動的サイバー防御への本質的な対応は、組織体制と人材スキルの再設計という中長期のタスクでこそ達成されます

貴社では、2025年5月16日に施行された「セキュリティクリアランス制度」への対応は進んでいるでしょうか。政府が主導する情報共有に参加するには、一定の秘密情報取扱要件を満たした人材が社内に必要になります。対象者の経歴や所属部署、取り扱うデータの種類を整理し、制度に合致した体制を社内で整えましょう。

次に着手したいのが、複合スキル型セキュリティ人材の育成です。ACD下では“技術が分かる”だけでなく、制度、法令、国際基準を含めて横断的に理解できる人材が求められます。例えば、ISC²のCISSP、国家資格の情報セキュリティマネジメントなどを取得支援制度に組み込むと、組織全体の防衛力を高めることができます。

さらに、仮想攻撃訓練（レッドチーム演習）への参加も中堅企業にとって現実的な選択肢となりつつあります。可能であれば、業界ベンダーやCSIRTと連携した共同訓練の導入も視野に入れましょう。

より戦略的かつ積極的なサイバーセキュリティで備える時代へ

「能動的サイバー防御（ACD）」法の成立によりサイバー防御の枠組みが大きく変わります。情報システム部門は今後、国家主導の防御体制において積極的な役割を果たすことが求められやすくなるでしょう。

本記事でご紹介した通り、対応すべき重要なフェーズは「社内ネットワークの可視化とリスクの棚卸し」「制度順守の基礎設計」「戦略的防衛構築」の3つに分けられます。これらの段階を明確に分け、企業の現状に即した具体的な行動計画を立て、実行していきましょう。

また、企業におけるセキュリティ体制を強化するためには、組織全体で防衛意識を高め、技術面に長けているだけでなく法的な理解や実務対応ができる人材の育成も欠かせません。ACDの導入を機に、戦略的な防御体制の強化へ向けた一歩を踏み出していきましょう。