この記事の想定読者:年商30〜300億円・従業員100〜1000名規模の中堅企業で、情報システム・セキュリティ・経営企画・法務を担う方。「能動的サイバー防御」という言葉は聞くものの、自社が直接の義務対象なのか、何をいつまでに備えればよいのかが整理できていない方を想定しています。
2025年5月、日本のサイバーセキュリティ政策を大きく転換する法律が成立しました。いわゆる「能動的サイバー防御(アクティブサイバーディフェンス)」を制度化するサイバー対処能力強化法と、その整備法です。攻撃を受けてから守る「受動的」な対応にとどまらず、攻撃の兆候を早期に把握し、必要に応じて攻撃元へ働きかける「能動的」な対応へ踏み込む枠組みが整いました。
ただし、この法律で新たな義務を直接負うのは電力・通信などの基幹インフラ事業者が中心です。一方で、多くの中堅企業は「直接の対象ではないが、取引先・委託元として無関係ではいられない」立場に置かれます。本記事では、確定している事実と未確定の予定を切り分けながら、中堅企業が今から着手すべき実務を整理します。
目次
- 能動的サイバー防御とは何か
- 法律の正式名称と成立・施行スケジュール
- 制度の3本柱(+体制整備)
- 中堅企業への影響:直接義務と間接影響を切り分ける
- 今すぐ着手すべき備え(チェックリスト)
- よくある質問
- まとめ
- 参考資料
能動的サイバー防御とは何か
「能動的サイバー防御(Active Cyber Defense)」とは、サイバー攻撃の被害が発生してから対処する従来型の防御に加え、攻撃の予兆や脅威情報を早い段階で把握・分析し、深刻な攻撃に対しては国が攻撃元のサーバーなどへアクセスして無害化する措置までを含む、より積極的な防御の考え方です。
これを実現するため、政府は法整備と組織の再編を進めました。中堅企業にとって重要なのは、「国が能動的に動く前提として、官民の脅威情報共有が制度化された」という点です。情報を出す側・受け取る側として、企業も無縁ではいられなくなります。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
法律の正式名称と成立・施行スケジュール
まず正式名称を正確に押さえます。一般に「能動的サイバー防御法」と呼ばれますが、これは通称で、実体は次の2本の法律です。
| 通称 | 正式名称 | 法令番号 |
|---|---|---|
| サイバー対処能力強化法 | 重要電子計算機に対する不正な行為による被害の防止に関する法律 | 令和7年法律第42号 |
| 整備法 | 重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律 | 令和7年法律第43号 |
成立・公布の時期は内閣官房の公表資料で確認できます。2025年(令和7年)5月16日に成立し、同年5月23日に公布されました。
施行は一度に全面適用されるのではなく、2026年から2027年にかけて段階的に行われる予定です。報道や専門機関の解説によれば、おおよそ次のような順序が見込まれていますが、具体的な施行日の多くは政令で定める日とされており、確定情報は今後の政令・省令で示されます。現時点で時期が確定していない部分は「〜予定」「〜の見込み」として扱ってください。
| 段階 | 時期(予定・見込み) | 主な内容 |
|---|---|---|
| 体制整備 | 2025年7月(実施済み) | NISCを改組し「国家サイバー統括室」が発足 |
| 基幹インフラ事業者の届出・報告等 | 公布から1年6か月以内(=2026年11月23日まで/予定) | 基幹インフラ事業者の届出・インシデント報告など、大部分の規定 |
| 通信情報の利用等 | 一部を除き公布から2年6か月以内(予定) | 政府による通信情報の取得・分析に関する規定 |
なお、報道では官民連携部分の施行を2026年内とする見方が示されていますが、正式な施行日は政令の公布を待つ必要があります。本記事では確定日を断定せず、最新の一次情報での確認を前提とします。
組織面では、従来のNISC(内閣サイバーセキュリティセンター)を発展的に改組し、**2025年7月に「国家サイバー統括室」**が新たな司令塔として発足しました。サイバー安全保障に関する政策を政府横断で統括する役割を担います。
制度の3本柱(+体制整備)
能動的サイバー防御の制度は、大きく3本の柱と、それを支える組織・体制整備で構成されます。
1. 官民連携による情報共有
基幹インフラ事業者に対し、重要なシステム(特定重要電子計算機など)の導入時の届出や、サイバー攻撃を受けた際のインシデント報告を義務づけるとともに、官民協議会を通じて政府から脅威情報を共有する仕組みを整えます。攻撃の兆候や手口を早期に共有し、被害の連鎖を防ぐことが狙いです。
2. 通信情報の利用
サイバー攻撃を検知・分析するため、政府が一定の通信情報を取得・分析できるようにする枠組みです。取得には類型があり、同意によらない取得については独立した委員会(サイバー通信情報監理委員会)の事前承認を要するなど、濫用を防ぐための手続きが設けられています。
3. アクセス・無害化措置
深刻な攻撃に対し、警察や自衛隊が攻撃に使われているサーバーなどへアクセスし、無害化する措置を可能にするものです。独立機関の承認を経て実施され、国際法の範囲内で行うことが前提とされています。
(+)組織・体制の整備
上記を支える司令塔として、前述の国家サイバー統括室が設置されました。これら3本柱はいずれも、まず基幹インフラなど国の中核に関わる領域から運用が始まる点に注意が必要です。
中堅企業への影響:直接義務と間接影響を切り分ける
ここが本記事の核心です。新たな法的義務(届出・インシデント報告など)を直接負うのは、電力・ガス・通信・金融などの基幹インフラ事業者が中心で、報道では直接の対象は約260社規模とされています。一般的な中堅企業の多くは、この直接義務の対象には含まれません。
しかし「対象外だから無関係」とはいきません。中堅企業には次のような間接的な影響が及びます。
| 影響の経路 | 具体的に何が起きるか |
|---|---|
| サプライチェーン経由 | 基幹インフラ事業者やその主要取引先から、委託先である自社にも体制整備・報告協力が契約で求められる |
| ITベンダー・委託先としての立場 | システムを納入・運用する側として、インシデント時の報告対応や証跡提出を求められる可能性 |
| 取引先審査・監査での要求水準の上昇 | 法整備を背景に、取引先のセキュリティ要件やデューデリジェンスが厳格化する |
| 脅威情報共有の前提整備 | 官民連携が進むほど、情報を受け取り活かせる体制があるかが取引上の評価軸になる |
つまり中堅企業にとっての本質は、「自社が直接罰則を受けるか」ではなく、「取引を続けるために求められるセキュリティ水準が、法整備を背景に底上げされる」という点です。煽る必要はありませんが、契約や監査を通じて静かに、しかし確実に要求は高まります。
今すぐ着手すべき備え(チェックリスト)
直接の義務対象でない中堅企業でも、以下は「いずれ求められる」ことを前提に、今から整えておく価値があります。法施行を待つ必要はありません。
- インシデント対応・報告体制の整備 — 誰が・いつ・どこへ報告するかを文書化する。社内エスカレーション経路と、取引先・関係機関への連絡先(後述の相談先)を一覧化しておく。
- サプライチェーンの棚卸し — 自社が誰の委託先で、誰に委託しているかを整理する。基幹インフラ事業者やその系列との取引があれば、契約上のセキュリティ要件を確認する。
- ログ管理の見直し — 主要システムのアクセスログ・操作ログを、いつ・何が起きたか後から追えるよう、適切な期間保全する。インシデント時の証跡提出に直結する。
- 資産・システムの可視化 — 何を守るべきか(重要なサーバー・データ・外部接続)を把握する。守る対象が曖昧なままでは報告も対策もできない。
- 脅威情報を受け取り活かす窓口 — 公的機関や業界の情報共有を受け取り、社内で展開する担当・運用を決めておく。
- 相談先の確保 — 平時から相談・通報できる先を把握しておく。IPA(情報処理推進機構)やJPCERT/CC、警察庁・都道府県警のサイバー窓口、業界のISACなどが代表的です。
これらは法対応のためだけでなく、ランサムウェアや情報漏えいといった日常的な脅威への備えとしても有効です。法施行は「いつかやろう」を「今やる」に変える良いきっかけになります。
GXOでは中堅企業のセキュリティ体制構築を支援しています。インシデント対応体制の整備、サプライチェーンの棚卸し、ログ管理・資産可視化の設計まで、自社の実情に合わせて伴走します。何から手をつけるべきか迷う場合も含め、まずはお気軽にご相談ください。→ 無料相談はこちら
よくある質問
Q. 自社は中堅企業ですが、能動的サイバー防御法で新たな義務を負いますか?
新たな届出・インシデント報告などの法的義務を直接負うのは、電力・通信・金融といった基幹インフラ事業者が中心で、報道では約260社規模とされています。一般的な中堅企業の多くは直接の対象ではありません。ただし、その委託先・取引先として契約や監査を通じて体制整備や報告協力を求められる可能性が高く、間接的な影響は無視できません。
Q. いつから施行されますか?
2025年5月23日に公布され、2026年から2027年にかけて段階的に施行される予定です。組織面では2025年7月に国家サイバー統括室が発足済みです。官民連携部分は2026年、通信情報の利用は2027年頃が見込まれていますが、具体的な施行日の多くは政令で定められるため、確定情報は今後の政令・省令で確認する必要があります。
Q. 「通信情報の利用」で自社の通信が監視されるのですか?
この制度はサイバー攻撃の検知・分析を目的としたもので、取得には類型ごとの手続きが定められています。同意によらない取得については独立した委員会の事前承認を要するなど、濫用を防ぐ仕組みが設けられています。運用の詳細は今後の政令・省令で具体化されるため、最新の一次情報での確認をおすすめします。
Q. 直接の義務対象でないなら、今は何もしなくてよいですか?
そうは言えません。法整備を背景に、取引先審査や監査で求められるセキュリティ水準は底上げされます。インシデント報告体制、サプライチェーンの棚卸し、ログ管理、資産の可視化は、いずれ求められることを前提に今から整えておくのが現実的です。これらは日常的なサイバー脅威への備えとしても有効です。
Q. まず相談すべき公的な窓口はどこですか?
平時からの相談・通報先として、IPA(情報処理推進機構)やJPCERT/CC、警察庁・都道府県警のサイバー犯罪相談窓口、業界ごとのISACなどがあります。インシデント発生時に慌てないよう、自社に関係する窓口を事前に一覧化しておくことをおすすめします。
まとめ
- 能動的サイバー防御を制度化した「サイバー対処能力強化法」と「整備法」が2025年5月16日に成立、5月23日に公布された。
- 施行は2026年から2027年にかけて段階的に行われる予定で、具体的な施行日の多くは政令で定められる。
- 制度は「官民連携の情報共有」「通信情報の利用」「アクセス・無害化措置」の3本柱と、司令塔である国家サイバー統括室の体制整備で構成される。
- 新たな法的義務を直接負うのは基幹インフラ事業者が中心だが、中堅企業も委託先・取引先として間接的な影響を受ける。
- 中堅企業は、インシデント報告体制・サプライチェーン棚卸し・ログ管理・資産可視化・相談先の確保を、法施行を待たず今から整えておくのが現実的。
参考資料
- 内閣官房「サイバー安全保障に関する取組(能動的サイバー防御の実現に向けた検討など)」 https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/index.html
- 日本経済新聞「サイバー対処能力強化法10月施行 社会インフラ関連企業に新たな義務」 https://www.nikkei.com/article/DGXZQOUC071KC0X00C26A5000000/
- NRIセキュア「能動的サイバー防御とは?|2027年に向け企業が備えるべき『官民連携』の全体像」 https://www.nri-secure.co.jp/blog/active-cyber-defense
- GMOインターネットグループ「サイバー対処能力強化法とは?4つの柱と企業が備えるべき対策を解説」 https://group.gmo/security/security-all/information-security/blog/cyber-response-capability-enhancement-act/