プライバシー設定
このサイトでは、第三者のウェブサイト追跡技術を使用して、当社のサービスを提供および継続的に改善し、ユーザーの興味に応じた広告を表示します。同意します。また、将来的に有効となる限り、いつでも同意を取り消したり、変更したりすることができます。
拒否
[すべて承認]
すべての記事

能動的サイバー防御とは|企業・情シスが今から備えるべき対応を解説

No items found.
共有
コピー

「能動的サイバー防御」という言葉を耳にする機会が急増しています。2025年5月に関連法が成立し、2026年秋から順次施行される見通しですが、「基幹インフラ事業者の話だろう」「うちには関係ない」と受け流している情シス担当者の方も少なくないでしょう。

実際には、基幹インフラ事業者だけでなく、そのサプライチェーンに位置する企業や政府・公共機関と取引のあるITベンダーにも影響が波及します。2026年秋という時間軸を考えると、準備に使える猶予はそれほど長くありません。

本記事では、能動的サイバー防御の制度概要から自社への影響判断の方法、情シス担当者が段階的に実装すべき体制整備のロードマップまでを体系的に解説します。制度の全体像を把握したうえで、自社に必要なアクションを判断したい担当者の方に向けた内容です。

能動的サイバー防御とは?制度の全体像を把握する

2025年5月に成立したこの制度は、サイバー攻撃への受け身型対応から先手を打つ防御へと国家の姿勢を転換するものです。ITガバナンスの観点から何が変わるのかを理解するには、制度の背景と法律の構造を先に把握することが判断の前提となります。

能動的サイバー防御が登場した背景

国家関与型のサイバー攻撃が世界規模で増加しています。特定の国家・政府機関をバックに持つ攻撃グループが、重要インフラや防衛産業、政府機関を標的に高度な攻撃を仕掛けるケースが相次いでおり、日本も例外ではありません。

従来の防御は、攻撃が発生してから検知・対応するアプローチでした。このモデルの構造的な問題は、攻撃者が事前にネットワーク内に潜伏しながら準備を進めている段階を見逃してしまう点にあります。米国・英国・オーストラリア等の主要国がすでに実施しているActive Cyber Defense(ACD)の考え方を参考に、日本でも攻撃の予兆を早期に検知して被害を未然に防ぐ先制的アプローチへの転換が政策的に決定されました。

法律の構成と成立経緯

能動的サイバー防御に関連する法律は2本の法律で構成されています。「重要電子計算機に対する不正な行為による被害の防止に関する法律」(サイバー対処能力強化法)と「サイバー対処能力整備法」です。2025年5月23日に公布されました。

施行スケジュールは2段階で設計されています。2026年秋を目途に、基幹インフラ事業者に対する資産届出とインシデント報告制度が先行して開始されます。2027年秋を目途に、政府による通信情報の分析・提供を可能にする仕組みが整備される予定です。重要インフラに係る新たな基準の策定も2026年度中に予定されています。

能動的サイバー防御と従来防御の違い

従来の防御モデルは、侵入・感染が発生した後に検知して対処する事後対応型でした。能動的サイバー防御は、攻撃者のインフラや攻撃コードを事前に特定し、攻撃が届く前に無力化することを目指します。

民間企業にとって直接関係するのは、政府が収集・分析したサイバー脅威情報の民間への提供と、重要インフラ事業者への監視・支援の強化です。政府が先手を打つための前提として、民間企業側にも一定の情報共有義務とインシデント報告義務が課される点が、これまでの制度と根本的に異なります。

参考: サイバー安全保障に関する取組 - 内閣官房

参考: 能動的サイバー防御とは?|2027年に向け企業が備えるべき「官民連携」の全体像 - NRI Secure

自社は対象か?影響を受ける企業の種類

「基幹インフラ事業者が対象」という報道が多いため、自社は無関係と判断している担当者も少なくありません。しかし影響範囲はより広く、サプライチェーン上の立場によっては早急な対応が必要になります。

直接的な影響を受ける企業類型

能動的サイバー防御法の直接的な適用対象となる企業は、主に3種類に分類されます。

1つ目は基幹インフラ事業者です。電力・ガス・水道・通信・金融・交通・医療等の重要インフラを運営する事業者が該当し、資産届出義務とインシデント報告義務が直接課されます。2つ目は基幹インフラ事業者が運用する重要システムを開発・提供するITベンダーやシステムインテグレーターです。取引先を通じてセキュリティ要件の引き上げが求められる可能性があります。3つ目は電気通信事業者です。通信情報の利用に関する制度整備において特別な役割を担うため、個別の対応義務が生じます。

間接的な影響を受ける企業

直接の対象でなくとも、以下のような立場の企業には間接的な影響が及びます。

基幹インフラ事業者に製品・部品・サービスを提供するサプライチェーン上の企業は、取引先から情報管理水準の強化を求められます。政府・公共機関と取引のある企業は、調達条件にセキュリティ要件が追加される可能性があります。セキュリティ製品・サービスを提供するベンダーは、顧客対応の観点からも制度への深い理解が必要です。

影響判断チェックリスト

自社への影響を判断するために、以下の項目を確認してください。

  • ☐ 電力・ガス・通信・金融・医療・交通インフラの事業を運営している
  • ☐ 基幹インフラ事業者の重要システムを開発・運用・保守している
  • ☐ 政府・省庁・自治体との取引があり、セキュリティ要件を求められている
  • ☐ 電気通信事業を営んでいる
  • ☐ 基幹インフラ事業者を主要顧客とするシステムやセキュリティ製品を提供している

1項目でも該当するなら、法律の適用範囲と自社への具体的な影響を法務部門・経営層と早急に確認してください。

参考: 能動的サイバー防御法による企業への影響と対応 - unitis

参考: 能動的サイバー防御法案:企業への影響とポイント - Control Risks

基幹インフラ事業者に課される具体的な義務

基幹インフラ事業者の情シス担当者は、制度上の義務を具体的に把握し、準備のスケジュールを逆算することが急務です。法律が定める主な義務は3つに整理されます。

特定重要電子計算機の届出義務

特定重要電子計算機とは、社会に重大な影響を与える可能性のある重要なコンピューターシステムを指します。基幹インフラ事業者はこのシステムについて製品名・製造者名・機能・設置場所等の情報を事業所管の大臣に届け出る義務が課されます。

資産届出の初回期限は2027年4月1日が想定されています。準備には相応の時間がかかるため、届出内容を正確に把握するための資産管理台帳の整備を今から着手することが現実的です。管理すべき情報は機器の製品名・製造者名・機能・設置場所にとどまらず、ソフトウェアバージョンも含まれます。変更が生じた場合に速やかに台帳を更新する運用フローの確立も、届出義務を継続的に満たすうえで欠かせません。

インシデント報告義務

特定重要電子計算機に対するサイバーセキュリティインシデント、またはその原因となり得る事象を認知した際は、報告が義務付けられます。報告制度は2026年10月1日施行が想定されており、基幹インフラ事業者はこの時点までに報告体制を整備しなければなりません。

報告体制を機能させるためには、ログの取得・保存体制が前提となります。認証ログ・アクセスログ・通信ログを適切に取得し、インシデント発生時に素早く状況を把握・報告できる監視体制を構築しておく必要があります。インシデントの判断基準や報告の閾値についても、社内で事前に定義しておくことが報告漏れを防ぐ鍵となります。

官民情報共有の仕組み

能動的サイバー防御制度のもとでは、政府と民間の間で定期的な情報交換・脆弱性共有を行う協議体制が制度化されます。基幹インフラ事業者はこの協議体制に参加し、政府が把握したサイバー脅威情報を受け取る一方、自社で検知したインシデント情報を提供することになります。

受け取った情報の管理にも注意が必要です。政府から提供される脅威情報には機密性を伴うものが含まれる可能性があり、適切な情報管理体制の整備が求められます。

参考: つながる社会を守る「能動的サイバー防御」2026年施行の新制度で変わる企業対応 - GSX

参考: 能動的サイバー防御の導入による基幹インフラ事業者への影響(前編) - PwC Japan

一般企業(非基幹インフラ)が今から備えるべきこと

基幹インフラ事業者でない企業も、準備を先送りにすることにはリスクが伴います。取引先への要件波及という現実的な影響に加え、サイバーセキュリティの水準が業界を横断して底上げされていく流れの中で、対応の遅れが競争力の低下につながる場面も想定されます。

直接対象でなくても準備が必要な理由

能動的サイバー防御法が基幹インフラ事業者に厳格なセキュリティ要件を課すことで、そのサプライチェーンに位置する企業にも同様の水準が要求されるようになります。取引先からセキュリティ基準への適合証明を求められるケースや、入札条件にセキュリティ要件が追加されるケースが増加することが予測されます。

国全体のサイバーセキュリティ基準が引き上げられる方向性は制度整備によって明確になっています。対応漏れが顕在化するのは施行後であるため、今のうちから基礎的な体制を整えておくことが組織防衛の観点から合理的です。

情シスが着手すべき3つの優先領域

直接対象でない企業の情シス担当者が最初に取り組むべき領域は3つあります。

1つ目はIT資産・ソフトウェア資産管理台帳の整備と最新化です。自社が保有するハードウェア・ソフトウェア・SaaSの全量を把握することが、あらゆるセキュリティ対策の出発点となります。2つ目はアクセス権管理の見直しと最小権限化です。不要な権限の棚卸しと、退職者アカウントの即時無効化フローを優先して整備してください。3つ目はインシデント対応フローの整備です。発生時の初動対応手順と報告ルートを文書化し、訓練によって実効性を担保します。

資産管理台帳の最新化が最初のステップ

IT資産台帳の整備が能動的サイバー防御対応の出発点となる理由は明確です。基幹インフラ事業者への届出義務においても資産の正確な把握が前提とされており、サプライチェーン上の企業にも同様の可視化が求められる流れになっています。

台帳に記録すべき情報は、機器の製品名・製造者名・機能・設置場所・ソフトウェアバージョンです。クラウドサービスやSaaSも管理対象に含めることが必要です。特に部門担当者が独自に契約したSaaSは情シスが把握できていないケースが多く、セキュリティ上の盲点となりやすい領域です。

IT資産管理とはSaaS棚卸し やり方

参考: 2025年「能動的サイバー防御(ACD)」成立──企業が対応すべき新しい防衛戦術とは? - ORIX Rentec

セキュリティ体制の強化ポイント

能動的サイバー防御への対応として情シスが実装すべき体制の強化ポイントを整理します。基幹インフラ事業者だけでなく、一般企業でも今から着手することで制度対応と組織全体のセキュリティ向上を同時に達成できます。

ネットワーク監視・可視化の強化

インシデント報告義務を履行するには、何が起きているかをリアルタイムで把握できる監視体制が前提となります。認証ログ・アクセスログ・通信ログを網羅的に取得し、一定期間保存する仕組みを整備してください。

異常検知の仕組みとして、SIEMの導入やEDRツールの活用が有効です。クラウドサービスやSaaSも監視対象に含め、オンプレミスのインフラと合わせたネットワーク全体の可視化を目指してください。監視に抜け漏れがある状態では、インシデントの検知が遅れ、報告義務の履行も困難になります。

アクセス管理の徹底

サイバー攻撃の多くは、不正なアクセス権の悪用や過剰な権限付与が侵入経路となっています。最小権限の原則に基づき、各従業員が業務上必要な最低限の権限のみを持つ状態を実現することが基本です。

特権アカウントの管理には特に注意が必要です。システム管理者権限を持つアカウントは攻撃者の標的になりやすく、使用時のログ取得と承認フローの整備が求められます。退職者・異動者のアカウント即時無効化も、不正アクセスリスクを低減するうえで優先度の高い対策です。部門担当者が独自に利用しているSaaSは情シスの管理下になく、アクセス権の把握も困難なため、排除または正式認可の手続きが必要です。

不正アクセス 対策 情シスシャドーIT 対策

インシデント対応体制の整備

インシデントが発生した際に組織として迅速に動けるかどうかは、事前の準備で決まります。初動対応手順書を作成し、誰が・何を・いつ・どこに報告するかを明文化してください。

J-CSIPなどの外部の情報共有コミュニティへの参加も有効です。最新のサイバー脅威情報を入手し、自社の対策に反映できます。能動的サイバー防御制度のもとで政府からの脅威情報提供が制度化された場合も、受け取った情報を速やかに社内へ展開する体制が整っていることが前提となります。

参考: 【サイバー対処能力強化法】重要電子計算機への不正な行為による被害防止に関する法律に対して企業がとるべき備え - TrustLogin

施行スケジュールと対応ロードマップ

制度が段階的に施行されることは、フェーズごとに対応を積み上げられるという意味でもあります。施行スケジュールを把握したうえで、優先度に応じた準備計画を立てることが現実的なアプローチです。

段階的施行のタイムライン

現時点で想定されている主なマイルストーンは以下のとおりです。

  • 2025年5月23日: サイバー対処能力強化法・整備法 公布
  • 2026年秋(想定): インシデント報告制度・資産届出 開始
  • 2026年度: 重要インフラに係る新たな基準 策定
  • 2027年4月1日(想定): 資産届出 初回期限
  • 2027年秋(想定): 通信情報の利用に関する制度 整備完了

スケジュールはまだ確定的でない部分もありますが、2026年秋には最初の義務履行が求められることは明確です。準備に使える期間は限られています。

今から始める3フェーズの準備

フェーズ1は今すぐ着手できる現状把握です。自社が基幹インフラ事業者または関連ITベンダーに該当するかを確認します。次に、IT資産管理・SaaS管理・アクセス権管理・ログ取得の現状を棚卸しし、課題を可視化してください。影響範囲と現状のギャップが明確になれば、対応の優先度が決まります。

フェーズ2は2026年秋までに完了させる資産台帳整備とインシデント報告体制の構築です。特定重要電子計算機に該当するシステムの資産台帳を整備し、認証ログ・通信ログの取得範囲を拡大して異常検知と報告フローを実装します。インシデント報告の初回演練を実施し、体制の実効性を確認することも必要です。

フェーズ3は2027年秋までに整備する通信監視体制と官民連携体制の確立です。政府との情報共有プロセスを整備し、受け取った脅威情報を社内のセキュリティ対策に反映する運用フローを確立します。通信情報の利用に関する制度が整備される段階に向け、ネットワーク監視体制をさらに高度化させます。

[内部リンク: セキュリティ監査 実施方法 企業][内部リンク: セキュリティリスクアセスメント 方法(ISMS対応)]

参考: 能動的サイバー防御の要点解説:政府基本方針案と実務対応【2025】 - 赤坂国際法律会計事務所

参考:『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 - PwC Japan

Josysのプラットフォームで実現する対応効率化

能動的サイバー防御への対応において、情シス部門が直面する共通の課題はSaaSを含むIT資産の全量把握ができていないことと、アクセス権管理が属人化していることの2点です。ジョーシスのプラットフォームは、これらの課題を構造的に解決します。

SaaS可視化による資産台帳の自動整備

各部門が個別に契約・利用しているSaaSの全量を情シスが把握できていない状態は、多くの企業で続いていた課題です。ジョーシスのプラットフォームを導入することで、60種類以上のSaaSとの連携により、組織内のSaaS利用状況をリアルタイムで一元的に可視化できます。

能動的サイバー防御の資産届出で求められるソフトウェア資産の全量把握と最新化は、こうした可視化基盤があって初めて実現できます。ジョーシスのブラウザ拡張機能によるシャドーIT検出機能を活用すれば、情シスが認知していない未承認SaaSの利用も発見・管理対象に加えることができます。

シャドーIT 検出 方法SaaS管理とは

アクセス権棚卸しの効率化

アクセス管理を強化するには、まず現状のアクセス権の全体像を把握することが前提です。ジョーシスのプラットフォームでは、複数のSaaSにわたるアクセス権の状況を一画面で確認でき、定期的な棚卸し作業の工数を大幅に削減できます。

スプレッドシートで手動管理していた状態では数日から数週間かかっていた棚卸し作業が、ジョーシスを活用することで数時間から1日程度に短縮される事例があります。最小権限の原則を継続的に運用するためには、この種の棚卸しを定期サイクルで実施できる仕組みの整備が不可欠です。

退職・異動時の即時アカウント無効化

不正アクセスリスクを最小化するには、退職または異動した従業員のアカウントを即座に無効化することが基本となります。ジョーシスのプラットフォームはHRシステムと連携することで、退職・異動情報に連動した自動オフボーディングを実現します。

退職者のアカウントが数週間から数ヶ月にわたって有効なまま残存していた状態から、HR処理と同タイミングで全SaaSのアクセス権が自動的に無効化される状態への転換は、能動的サイバー防御対応におけるアクセス管理の徹底という要件を、運用コストをかけずに達成するアプローチです。

オフボーディング IT 自動化孤立アカウントとは

まとめ — 今から動くことが競合優位につながる

能動的サイバー防御関連法は2025年5月23日に公布され、2026年秋から段階的に施行が始まります。基幹インフラ事業者には資産届出とインシデント報告の義務が課され、そのサプライチェーン上の企業にも影響が波及します。

情シス担当者が今すぐ取り組むべきアクションは3点です。自社が基幹インフラ事業者またはその関連事業者に該当するかを確認し、適用される義務の範囲を法務・経営層と確定することが1点目です。IT資産・SaaS・アクセス権・ログ管理の現状を棚卸しし、2026年秋の第1フェーズ施行に向けた準備ギャップを可視化することが2点目です。資産台帳の整備・アクセス権の最小権限化・インシデント対応フローの文書化を優先課題として実装を開始することが3点目です。

対応が早い企業ほど、制度施行後の混乱を最小限に抑えられます。サプライチェーン上の取引先からセキュリティ要件の適合を求められた際にも、体制が整っていることが商取引上の強みになります。

まず現状のIT資産とアクセス権管理の実態を把握するところから着手してください。

IT内部統制とはITガバナンスとは

参考資料

Questions? Answers.

No items found.
No items found.