サイバー対処能力強化法とは?4つの柱と企業が備えるべき対策を解説
近年、企業や政府機関を狙ったサイバー攻撃が深刻さを増しています。ランサムウェアによる業務停止や、サプライチェーンを経由した情報窃取など、従来の防御策だけでは追いつかない脅威が現実のものとなりました。
こうした状況を受け、2025年5月に「サイバー対処能力強化法」が成立・公布され、2026年中に本格施行を迎えます。
サイバー対処能力強化法は、日本のサイバーセキュリティ体制を「受動的防御」から「能動的防御」へと転換させる法律です。
本記事では、サイバー対処能力強化法の概要から施行スケジュール、対象企業、企業が取るべき対策までをわかりやすく解説します。
目次
[ 開く ]
[ 閉じる ]
サイバー対処能力強化法とは
サイバー対処能力強化法は、正式には「重要電子計算機に対する不正な行為による被害の防止に関する法律」(令和7年法律第42号)という名称の法律です。一般的には「能動的サイバー防御法」とも呼ばれています。2025年5月16日に国会で成立し、同月23日に公布されました。
この法律は、サイバー対処能力強化法(強化法)と、関連法の改正を束ねた「サイバー対処能力整備法」(整備法)の2本がセットで運用される点が特徴です。強化法では官民連携や通信情報の利用について定め、整備法ではアクセス・無害化措置や組織体制の整備に関する規定を設けています。これにより、政府がサイバー攻撃に対して能動的に防御する体制を法的に整備する、日本にとって大きな転換点となる法律です。
サイバー対処能力強化法が制定された背景
サイバー対処能力強化法が制定された最大の理由は、サイバー攻撃の脅威が質・量ともに急速に拡大しているためです。内閣官房の資料によると、令和6年中に観測されたサイバー攻撃関連の通信の99%以上が海外から発信されており、各IPアドレスに約13秒に1回の頻度で攻撃が試みられている状況です。
具体的な被害事例としては、2022年の大阪急性期・総合医療センターでの業務停止や、2023年の名古屋港における物流停止など、社会インフラに直結する深刻な事案が相次いでいます。
こうした背景から、2022年12月の国家安全保障戦略では「サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる」という目標が閣議決定されました。これが法制化の出発点となり、有識者会議での約2年半にわたる議論を経て、サイバー対処能力強化法の成立に至っています。
サイバー対処能力強化法を構成する4つの柱
サイバー対処能力強化法は、大きく次の4つの柱で構成されています。
- 官民連携の強化
- 通信情報の利用
- アクセス・無害化措置
- 組織・体制の整備
それぞれの内容を確認していきましょう。
官民連携の強化
1つ目の柱は、政府と民間事業者の連携を強化する仕組みです。具体的には、基幹インフラ事業者が使用する「特定重要電子計算機」の導入届出や、サイバー攻撃を受けた際のインシデント報告が義務化されます。報告先は事業所管大臣と内閣総理大臣の両方です。
また、サイバーセキュリティ協議会を廃止・強化する形で新たな官民協議会が設置され、守秘義務を伴う形で政府から構成員へ脅威情報が共有される仕組みが整備されます。米国のJCDC(共同サイバー防衛連携)を参考にした制度設計であり、平時から官民が連携することで有事の迅速な対応につなげる狙いがあります。
通信情報の利用
2つ目の柱は、サイバー攻撃を検知するために通信情報を政府が取得・分析できるようにする規定です。取得方法には、基幹インフラ事業者等との「協定(同意)に基づく取得」と「同意によらない取得」の2つの類型があります。
同意によらない取得では、外国が関係する通信を対象に、独立機関である「サイバー通信情報監理委員会」の承認を事前に得ることが必要です。取得した通信情報は人の目に触れない自動選別が行われ、IPアドレスや指令情報など「コミュニケーションの本質的な内容ではない情報」のみが分析対象となります。通信の秘密への配慮と安全保障のバランスを図る設計になっている点が、国会審議でも重要な論点となりました。
アクセス・無害化措置
3つ目の柱は、確認された攻撃サーバ等に対して、警察や自衛隊が遠隔からアクセスし無害化できる権限を付与するものです。サイバー攻撃は「踏み台」と呼ばれる乗っ取られた機器を何段も経由して行われるため、攻撃元のサーバに直接対処する手段が不可欠です。
具体的には、警察庁長官が指名する「サイバー危害防止措置執行官」が、サイバー通信情報監理委員会の承認を得たうえで措置を実施します。自衛隊が対処する場合も同様に、独立機関の承認と外務大臣との協議が必要です。いずれも国際法上の範囲内で実施される点が法律上明記されています。
組織・体制の整備
4つ目の柱は、サイバー安全保障分野の司令塔となる組織の整備です。従来のNISC(内閣サイバーセキュリティセンター)を発展的に改組し、2025年7月1日に「国家サイバー統括室(NCO)」が発足しました。
あわせて、次官級の特別職である「内閣サイバー官」が新設され、国家安全保障局次長を兼務する形でサイバー安全保障の政策を一元的に総合調整します。内閣総理大臣を本部長、全国務大臣を本部員とするサイバーセキュリティ戦略本部への改組も行われており、政府全体でサイバー安全保障に取り組む体制が整いつつあります。
サイバー対処能力強化法の施行スケジュール
サイバー対処能力強化法は一度にすべてが施行されるわけではなく、段階的に進む点に注意が必要です。
| フェーズ | 時期 | 主な内容 |
|---|---|---|
| 第1フェーズ | 2025年7月(施行済み) | 国家サイバー統括室(NCO)の発足、内閣サイバー官の設置、基本方針の策定が可能に |
| 第2フェーズ | 2026年4月 | サイバー通信情報監理委員会の設置 |
| 第3フェーズ | 2026年11月まで | 官民連携の本格施行(届出義務・インシデント報告義務・協議会設置など) |
| 第4フェーズ | 2027年11月まで | 通信情報の利用に関する規定の施行 |
特に企業が注目すべきは第3フェーズ(2026年11月まで)です。届出義務やインシデント報告義務が本格施行されるため、基幹インフラ事業者やその関連企業は、この時期までに社内体制を整えておく必要があります。報告先の一元化に向けた統一報告様式は2025年10月から先行運用が始まっており、報告受付システムも第3フェーズに合わせて整備される予定です。
サイバー対処能力強化法の対象となる企業
サイバー対処能力強化法の対象企業は、直接的に義務が課される「基幹インフラ事業者」と、間接的に影響が及ぶ「サプライチェーン企業・IT委託先」に分かれます。
基幹インフラ事業者(電気・ガス・通信・金融・医療など)
サイバー対処能力強化法で直接義務が課されるのは、法律上「特別社会基盤事業者」と呼ばれる基幹インフラ事業者です。経済安全保障推進法に基づく15の事業分野が対象となっており、2025年7月時点で計257者が指定されています。
| 分野 | 具体的な事業 |
|---|---|
| エネルギー | 電気、ガス、石油 |
| 生活インフラ | 水道 |
| 交通・物流 | 鉄道、貨物自動車運送、外航海運、港湾、航空、空港 |
| 情報通信 | 電気通信、放送、郵便 |
| 金融 | 金融、クレジットカード |
これらの事業者には、「特定重要電子計算機」の導入届出とインシデント報告が法律上の義務として課されます。報告を怠り是正命令にも従わない場合は200万円以下の罰金、資料提出等に応じない場合は30万円以下の罰金が科されます。また、秘密の不正な利用や漏えいについては2年以下の拘禁刑または100万円以下の罰金と、刑事罰も規定されています。
サプライチェーン企業・IT委託先
サイバー対処能力強化法は基幹インフラ事業者を主な対象としていますが、それだけで終わりではありません。政府の有識者会議では、中小企業を含む幅広い事業者が対象となり得ることから、必要な周知・広報を行うべきとの結論が示されています。
たとえば、基幹インフラ事業者のシステム開発や運用保守を受託しているITベンダーは、契約上の義務として体制整備や報告対応を求められる可能性があります。
自社が提供するサービスが基幹インフラ分野に関係しているか、契約書やSLAにセキュリティに関する条項があるかなど、一度確認しておくことをおすすめします。
サイバー対処能力強化法の施行に向けて企業が取るべき対策
施行までの準備期間は限られています。ここでは、企業が今から取り組んでおきたい4つの対策を紹介します。
- IT資産の棚卸しと届出対象の該当性確認
- インシデント対応ルールと報告フローの策定
- サプライチェーン全体のセキュリティ確認
- 社内教育と最新情報のキャッチアップ
1.IT資産の棚卸しと届出対象の該当性確認
最初に取り組むべきは、自社が保有・運用するシステムやサーバの棚卸しです。「特定重要電子計算機」の定義は、「そのサイバーセキュリティが害された場合に、特定重要設備の機能が停止し、又は低下するおそれがある電子計算機」とされています。まずは自社のどのシステムがこの定義に該当し得るかを把握し、IT資産の「見える化」を進めることが第一歩です。
資産管理台帳が整備されていない場合、この機会に作成・更新しておくと、届出の際にも対応がスムーズになります。
2.インシデント対応ルールと報告フローの策定
サイバー攻撃を受けた際に「誰が・いつ・どこに報告するか」が明確になっていないと、対応が遅れてしまいます。サイバー対処能力強化法では、インシデントの認知時に所管大臣と内閣総理大臣の双方に報告する義務が課されるため、社内の報告ルートを事前に整理しておきましょう。
なお、2025年10月からDDoS攻撃やランサムウェアに関する統一報告様式の運用が先行開始されています。第3フェーズの本格施行に向けて報告受付システムの一元化も進められる予定ですので、現時点から統一様式に慣れておくことが有効です。
3.サプライチェーン全体のセキュリティ確認
自社だけでなく、委託先や取引先のセキュリティ対策状況も把握しておくことが重要です。サプライチェーンの一部に脆弱なポイントがあると、そこを経由して基幹インフラ事業者が攻撃を受けるリスクが高まるためです。
契約書上のセキュリティ条項を見直し、インシデント発生時の連絡体制を取引先と共有しておきましょう。また、経産省では「サプライチェーン強化に向けたセキュリティ対策評価制度」を2026年度から運用開始する予定であり、こうした制度との連動も視野に入れておくとよいでしょう。
4.社内教育と最新情報のキャッチアップ
法律や制度は施行後も政令やガイドラインの公表によって具体化されていきます。情報システム部門だけでなく、経営層や現場の担当者も含めたサイバーセキュリティ教育を定期的に行い、組織全体のリテラシーを高めておくことが求められます。
国家サイバー統括室が運営する有識者会議の議事録や、IPAが発信するセキュリティ情報など、信頼性の高い情報源を定期的にチェックする体制を社内に設けておくことが、継続的な備えにつながります。
まとめ
サイバー対処能力強化法は、日本のサイバーセキュリティ体制を「受動的防御」から「能動的防御」へと転換させる法律です。官民連携の強化、通信情報の利用、アクセス・無害化措置、組織・体制の整備という4つの柱により、政府と民間が一体となってサイバー攻撃に対処する枠組みが整えられます。
2026年11月までに届出義務やインシデント報告義務が本格施行される予定であり、基幹インフラ事業者はもちろん、サプライチェーンに連なる中小企業にも影響が及ぶ可能性があります。施行スケジュールの各フェーズを意識しながら、IT資産の棚卸し、報告フローの整備、委託先の確認、社内教育といった対策を早めに進めていきましょう。
GMOインターネットグループでは、パスワードの漏洩やWebの侵入リスクなどを無料で診断できるサービス「GMO セキュリティ24」を提供しています。また、ネット利用に関するご不安にも無料でお答えしていますので、お気軽にご相談ください。
文責:GMOインターネットグループ株式会社
