つながる社会”を守る「能動的サイバー防御」
2026年施行の新制度で変わる企業対応
今年(2025年)の5月に能動的サイバー防御法案が可決・成立されました。
報道等では能動的サイバー防御法と呼ばれていましたが、これには「サイバー対処能力強化法」と「サイバー対処能力整備法」が2つの法律により構成されています。なお、この名称も通称であり正式には「重要電子計算機に対する不正な行為による被害の防止に関する法律」と「同法律の施行に伴う関係法律の整備等に関する法律」となりますが、本記事では通称を利用します。
2025年に成立し、2026年に施行される「サイバー対処能力強化法」と「サイバー対処能力整備法」は、基幹インフラのセキュリティを高めるための法律です。この2つの法律は、基幹インフラのセキュリティ強化を通じて、国家や国民の安全、経済活動の基盤を守るためのものです。この法律の対象となるのは基幹インフラ事業者ですが、関連するIT企業や委託先にも影響が考えられるため、あらかじめ情報を把握しておくことをお勧めします。この記事では、2025年7月時点の法律の概要と注意点を整理し、企業が取るべき備えを紹介します。
目次
1.サイバー脅威の高まりと、制度整備の背景──サイバー対処能力強化法とは
ランサムウェアなどのサイバー攻撃は巧妙化・深刻化すると同時に、攻撃に関連する通信数や被害数は増加の一途をたどっています。サイバー対処能力強化法とサイバー対処能力整備法は、こういった状況を背景として2025年に成立、2026年に施行されます。この法律ができた背景を解説します。
1-1.重要インフラへの攻撃が続発、求められる「国の責任」
サイバー攻撃による被害は深刻で、ときには国民生活にも大きな影響を与えることもあります。2021年米コロニアルパイプライン業務停止、2022年大阪急性期・総合医療センターの業務停止、2023年名古屋港業務停止など、生活や経済、流通などに大規模な影響を及ぼしました。なかには国家が関与していると思われる、重要インフラなどへの侵入事件も起こっています。
もはやサイバー攻撃は、民間企業によるセキュリティ対策だけで対応することは困難な状況なのです。こうした状況を受け、政府は「サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる」ことを目標に掲げて能動的なサイバー防御を実施する体制を整備する方針を固めました。こうして2025年5月23日に公布されたのが、サイバー対処能力強化法(強化法)とサイバー対処能力整備法(整備法)で、「公布の日から起算して1年6月を超えない範囲内において政令で定める日」、つまり、2026年中に施行されます。
1-2.法律の全体像──社会全体で備える“能動的サイバー防御”の枠組み
強化法と整備法で政府が目指しているのは、欧米と同等以上にサイバー攻撃へ対応できる体制の構築です。その方針となっているのが「能動的サイバー防御」です。能動的サイバー防御とは、サイバー攻撃から国や重要インフラ、国民の安全を守るため、政府が「先手を打って」被害を未然に防ぎ、拡大を食い止める新たな国家的な防御方針のことです。
能動的サイバー防御を実現するために、官民連携の強化、通信情報の利用、攻撃サーバーの無害化の3つが柱になっています。これにより、早期にサイバー攻撃を把握することが可能になり、効果的に対応できるようになります。さらに警察や自衛隊が攻撃サーバーなどを無害化することで、被害を防げるのです。また、憲法で保障されている通信の秘密などの権利を侵害しないよう、「自動的な方法による機械的情報の選別の実施」、要は、攻撃の分析に必要な情報を自動的に抽出することで、プライバシーに関わるような情報を人が見る(国家が監視する)ような手法を用いない等、厳格に法律が運用されることが規定されています。
1-3.特定重要電子計算機とは何か──届出義務の対象と狙い
強化法はサイバー攻撃への備えを政府主導で強化するため、政府と民間が情報を共有し、連携して対処することを目的としています。その1つとして、基幹インフラ事業者(※)は「特定重要電子計算機」と呼ばれる情報システムを導入するときは、その製品名などの情報を事業所管の大臣に届け出る義務が課されます。
※「基幹インフラ事業者」は経済安全保障推進法の基幹インフラ役務の安定的な提供の確保に関する制度の中で一定の基準に該当する事業者が政府によって指定されている。指定されている事業者は以下の資料で確認できる。
特定重要電子計算機とは、政府機関や重要インフラ事業者などが使用し、サイバー攻撃などを受けて機能が損なわれると社会や経済活動に甚大な影響を及ぼすおそれのあるシステムのことです。政府がこういった特定重要電子計算機の導入を把握することで、脆弱性が発見されたときに情報提供をしたり、サイバー攻撃に関連する情報共有や支援をしたりなど早期の対応が可能になります。
1-4.協議会制度と対処支援──官民連携の枠組みとは
強化法では政府と民間が連携してサイバー脅威に備える枠組みとして、「協議会制度」と「対処支援制度」を設けています。協議会制度は現行のサイバーセキュリティ協議会を廃止して強化・新設されるもので、基幹インフラ事業者やITベンダー、関係省庁といった構成員に対して守秘義務を伴う被害防止情報の共有や、必要な資料の提出を求めることができるようになります。協議会を設けることで、民間企業だけでは得られない情報が政府から提供されるようになるのです。このように、官民連携によってサイバー攻撃を防ぐ取り組みになっています。
対処支援制度は、サイバー攻撃の兆候や被害が確認された場合に、政府が技術的な支援や通信情報の提供を行うもので、従来の民間企業への情報提供にとどまらず、必要に応じて攻撃元の特定や無害化措置まで踏み込み、社会や経済などへの影響を最小限にとどめます。
2.影響範囲と実務上の注意点──法の影響を受ける可能性のある企業・業務
強化法や整備法は基幹インフラ事業者を主な対象としていますが、実務の現場では、関連会社や委託先、ITベンダーなどにも影響が及ぶかもしれません。法律では直接的な対象でなくても、サプライチェーンの一部であれば、対応が必要となるかもしれないのです。影響を受ける可能性のある業務や企業の範囲、そして実務上で注意すべきポイントについて解説します。
2-1.制度の対象は誰か──“基幹インフラ”だけで終わらない?
強化法では、電力、通信、金融、医療、物流など14の重要分野が、基幹インフラとして定義されており、これらを担う事業者から基幹インフラ事業者が指定されています。しかし、実際の業務を考えると、制度の影響がそれだけにとどまるとは限りません。
たとえば、放送局が導入しているシステムを構築・運用するIT企業、医療機関とシステム連携する機器メーカー、あるいは基幹インフラのサーバーにアクセス権を持つ保守業者なども間接的に関わる可能性があります。ときには基幹インフラ事業者から、情報提供の依頼が届くこともあるでしょう。自社が基幹インフラと接点を持っているのか、業務上どの立ち位置にあるのかを一度整理しておくことが重要です。
2-2.資産届出制度──「該当しない」とは言い切れない
資産届出制度は、基幹インフラ事業者が特定重要電子計算機を導入したときに、その製品名を政府へ届け出ることを義務化する制度のことです。この制度では、特定重要電子計算機に該当するシステムの導入・変更時に、30日以内の届出を義務づけています。
特定重要電子計算機を導入した基幹インフラ事業者は、事業を所管する大臣へ届け出ることが義務づけられています。そのため、基幹インフラ事業者は、特定重要電子計算機に関連したサービスの導入、運用、保守などを委託した事業者に対して、関連する情報を求める可能性があります。資産届出制度の対象は基幹インフラ事業者ですが、「うちは対象外だから関係ない」とまでは言い切れない場合があるため、注意しましょう。
2-3.報告義務と罰則──違反すれば罰金・拘禁刑も
強化法と整備法には、「報告義務」と「是正命令」に関する規定があります。特定重要電子計算機が不正アクセスなどでサイバーセキュリティが害された、またはその原因となるような事象を認知したときは、基幹インフラ事業者はそれを政府へ報告する義務を負うのです。
この報告義務に基幹インフラ事業者が従わず、是正命令を受けてもなお対応しない場合は200万円以下の罰金が科せられる可能性があります。また政府からの資料などの提出を要請されても対応しなければ、基幹インフラ事業者に30万円以下の罰金が化せられます。そのほかにも協議会の構成員が業務上知り得た秘密情報を漏えいすると、拘禁刑という重い罰則も規定されています。
これらの罰則は基幹インフラ事業者を対象としていますが、特定重要電子計算機の販売、提供などで関係する企業へも、必要な情報共有や資料提出等を求められることが考えられます。
3.“つながる責任”をどう果たすか──今こそ整えるべき社内対応
攻撃者は、いくつもの踏み台を経て正体を隠し、サイバー攻撃を仕掛けてきます。前述のとおり、基幹インフラ事業者だけでなく、それとつながる企業にも社会的責任が問われます。法規制への対応にとどまらず、基幹インフラ事業者に「選ばれる企業」となるために、どのような準備が必要なのかを解説します。
3-1.資産管理体制の見直し──まずは“見える化”から
基幹インフラに選ばれる企業となるには、まず資産管理体制の見直しが欠かせません。特定重要電子計算機に該当するシステムの構成管理を行って見える化することで、情報提供などの必要性の判断がしやすくなります。
さらに、製品やサービスごとの台帳整備に加え、導入・変更のフローを社内で定めておくことも重要です。新しいシステムを導入するときや既存システムを大幅に変更するときは、それが特定重要電子計算機に該当するかどうかを判断するプロセスを組み込んでおきましょう。また、親会社や委託先など、関係する企業との連携も考慮する必要があります。責任範囲を明確にし、必要に応じて契約書にセキュリティ対応を盛り込むことで、相互に信頼できる体制を構築できます。
3-2.インシデント対応のルール整備──報告の“迷い”をなくす
インシデントが発生したときの対応も、事前にフローを作成して明文化しておきましょう。どのようなインシデントが報告対象となり、どこに報告するのか、どのような判断基準で対応方針を決めるかなどを、関係する部署で共有しておくことで、いざというときの混乱を防げます。
サイバーインシデント発生時には、迅速かつ適切な報告が求められます。報告の判断基準や報告先、必要項目、対応担当者を事前に定め、速やかに報告できる体制を整えておくことが重要です。
また、是正命令への対応も見据え、経営層を含めた意思決定の体制を整備しておくことで、リスクを最小限に抑えられます。インシデント対応チームの編成、外部の専門家との連携体制なども含めて計画を策定しておきましょう。
3-3.社内教育と情報キャッチアップ──継続的な感度を保つ
基幹インフラに選ばれる企業となるには、強化法や整備法への対応を単にフロー化するだけでは不十分です。情報セキュリティ部門や法務部門、さらには経営層に至るまで、社内全体で共通の認識を持つことも必要です。能動的サイバー防御や基礎知識の習得、サイバー攻撃の最新動向、インシデント対応の演習などを定期的に実施し、組織全体のセキュリティ意識とスキルの向上を図りましょう。また、こういった最新情報のキャッチアップは継続的に行い、セキュリティにかんする感度を保ち続けることが大切です。
また、協議会からの情報提供や、政府の支援策の内容をタイムリーに把握する体制づくりも必要です。強化法と整備法は2026年の施行後も見直しや追加の対応が求められる可能性があるため、継続的に情報をアップデートできる社内体制の構築が不可欠です。
4.企業の“備え”を支援する──GSXのソリューション
ここまで見てきたように、能動的サイバー防御法が施行されると、基幹インフラ事業者および関係する事業者(取引先、サプライチェーンなど)の「やらなければならないこと(やらなければ罰則アリ)」が増えることとなります。
GSXでは、それらの「やらなければならないこと」を支援するソリューションを提供しているので以下に紹介します。
まず、今回のサイバー防御法への対応にはもちろん、セキュリティ対策を計画・実施するにあたっては、自社のセキュリティへの対応状況がどういったコンディションにあるのかを把握することが必要です。自社の状況を把握するためにGSXでは以下のようなソリューションを提供しています。
双方とも自社のセキュリティ状況を評価するソリューションですが、前者は組織や体制なども評価の対象に含むのに対し、後者は外部からアクセス可能なシステムが評価の対象となっています。
また、そもそもサイバー防御法の施行により自社にどのような対応が必要となるのか分からなかったり、そのための調査や検討のリソース(時間、人員)が足りていないという事業者には、GSXのセキュリティコンサルタントが、セキュリティ顧問という立場で各種助言を行うせキュリティアドバイザリーサービスを提供しています。
さらに、サイバー防御法ではインシデント発生時の報告義務も課されています。
インシデントが発生すると、インシデント自体への対応以外にも社内外への報告等も多く発生し、おそらく想像以上に対応が煩雑となります。そういった事態が発生した際に落ち着いて対応できるよう、必要な対応や対応フローなどを事前に整理しておくことも重要です。
GSXでは、そのようなインシデント発生時に落ち着いて対応できるよう、インシデント対応訓練サービスを提供しています。
この訓練の中で必要な対応やそれらの対応フローなどが整理されますので、その中に今回義務付けられている監督官庁への報告を組み込んでおくのもいいでしょう。
サイバー防御法への対応を進めるに当たり、GSXでは上記のサービスだけでなく、その他にもサイバー防御法の対応を支援できるサービスがありますので、まずは一度お問い合わせいただければと思います。
まとめ:法制度の変化を追い風に──選ばれる企業になるためのサイバー対策を
2026年に施行されるサイバー対処能力強化法とサイバー対処能力整備法は、日本のサイバーセキュリティを大きく前進させる契機となるでしょう。基幹インフラ事業者だけでなく、関係する企業や委託先もその影響を受ける可能性があるため、常日ごろからの備えがより重要になります。また、今後はセキュリティリスクを各企業で抱えるのではなく、標準化された対応と役割分担によって連携型のセキュリティ対策を構築していくことが重要です。
しかしこれは、対応する義務が増えたのではなく、信頼される企業としての競争力を高める機会と捉えるべきです。自社のセキュリティ体制を抜本的に強化し、競争力を高める機会として活用していくことが重要でしょう。
GSXは、制度対応を通じて企業価値を高めるための実践的な支援を提供しています。法制度の変化を追い風に、選ばれる企業を目指しましょう。
関連情報
計画的なサイバーセキュリティへの取り組み方と適切な予算の確保
ランサムウェアによる企業への身代金要求など、サイバー攻撃による被害の報告が相次いでいます。企業にとってサイバーセキュリティへの取り組みは、ますます重要な課題となっています。ただし、セキュリティの脆弱な部分を特定して対策を立て、適切なセキュリティ予算を確保することは簡単ではありません。サイバーセキュリティは直接的な利益を生み出しませんが、IT活用のリターンとのバランスで対策投資を考えることが重要です。本記事では、将来を見据えたサイバーセキュリティ対策の計画方法や、そのための予算確保における重要なポイントについて解説します。
企業のサイバーセキュリティ対策は急務!:実現可能な管理のステップとは?
DX推進やリモートワークの普及など企業のIT環境が大きく変化することで、セキュリティの脆弱性が生じます。例えば、コロナ禍によりあわてて設置したVPN装置の不適切な管理により、放置されている脆弱性を悪用して侵入され、ランサムウェア被害に及んだ、等のサイバーセキュリティインシデント事例が相次いでいます。企業にとってサイバーセキュリティ対策は急務ですが、明確な指針がない、人的リソースが足りないなどの理由で、どこから手をつけたらよいのか、どのように進めればよいのかがわからないというIT担当者、セキュリティ担当者は少なくありません。そこで、多くの中堅企業において実現可能なサイバーセキュリティ管理に着手・継続するためのステップを解説し、それぞれのステップにおけるGSXのサポートについても紹介します。
ランサムウェアインシデントの教訓―最新事例から学ぶ効果的なセキュリティ対策とは
世界中の企業がランサムウェアによるサイバー攻撃を受けています。攻撃者は企業の脆弱性を悪用して侵入、ランサムウェアでシステムの情報を暗号化し、身代金を要求します。要求を断ればシステムを復旧できないだけでなく、盗んだ情報を公開すると更なる脅迫を行うこともあります。ランサムウェアの脅威は、日本も例外ではありません。2024年には出版・インターネットコンテンツサービスを提供する大手企業が被害にあい、大きなニュースになりました。それ以前にも、名古屋港、トヨタ自動車の関連会社などにおいて深刻な被害の発生が近年相次いでいます。これらの事例を紹介しつつ、どのように対策・対応すべきかを考えていきましょう。
セミナー・イベント
【GSX主催ウェビナー】
中小企業向けISO/IEC 27001:2022(ISMS)取得のポイント~取得時に最も工数がかかる”セキュリティ文書作成”を支援するGSX最新版オリジナル文書テンプレートのご紹介~
開催日時:2024年2月16日(金)11時00分~11時50分
【GSX主催ウェビナー】
工場セキュリティの確保は経営課題!抑えておくべきポイントとは?~製品のライフサイクルにおけるセキュリティを考えていくための視点~
開催日時:2024年2月2日(金)11時00分~11時50分
【網屋/GSX共催ウェビナー】