最近の報道で、政府が能動的サイバー防御の中核措置である「アクセス・無害化措置」を2026年10月1日から可能にする方針を決めたことで、「能動的サイバー防御」が改めて注目されています。すでに関連法は2025年5月に成立・公布され、同年7月には国家サイバー統括室(NCO)も発足しており、日本のサイバー安全保障は検討段階から実装段階へ移っています
目次
能動的サイバー防御とは何か?
2025年2月政府はサイバー攻撃を未然に防ぐ「能動的サイバー防御」を導入するための法案を閣議決定しました。
「能動的サイバー防御(アクティブ サイバー ディフェンス)」とは、これまでは相手の攻撃を受けてから対処しようとする、受動的な対応が我が国のセキュリティ方策の主体であったのに対し、攻撃を受ける前に、こちらから攻撃をしかけようとする相手のネットワークやサーバ等にアクセスして未然に無害化を図るなど、より積極的な対処方法でセキュリティを実現しようとするものです。
関連法は2025年5月に成立・公布され、2025年7月には国家サイバー統括室が発足しました。さらに、アクセス・無害化措置の運用指針も示されており、2026年10月からは実際に無害化措置の運用が始まる見通しです。
現在の能動的サイバー防御は、①政府・重要インフラ事業者間の情報共有、②通信情報のうち機械的情報を用いた不審通信の検知、③重大な危害が生じるおそれがある場合のアクセス・無害化措置、の三本柱で制度化されています。一方で、発動基準や監督の実効性、誤作動時の責任といった運用面は、引き続き重要な論点です。
そこで問題点等について簡単に説明していきたいと思います。
(参照:内閣府「サイバー安全保障に関する取組」)。
能動的サイバー防御導入の背景と米国の影響
「能動的サイバー防御」という言葉は令和4年12月16日に閣議決定された新しい国家安全保障戦略において始めて示されました。国家安全保障戦略では、次のように能動的サイバー防御導入の目的が記載されています。
能動的サイバー防御の定義
「武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入する。」
文言から、重要インフラに対するサイバー攻撃への対処が念頭におかれていることがよく分りますね。
令和4年度になってやや唐突にこのような方向性が示された背景には、増大するサイバー攻撃の脅威と米国の政策変換があると考えられます。
前年である令和3年(2021年)には米国でコロニアル・パイプライン事件が発生するなど、重要インフラに対するサイバー攻撃への脅威が話題となっていました。
米国ではそのはるか以前のオバマ政権時代から重要インフラへのサイバー攻撃への対処能力向上に取り組んでいました。その中で重要視されたのが国家が関与するサイバー攻撃への対処です。
具体的には、ロシアや中国、イランといった国家が支援するハッキング集団等によるサイバー攻撃の脅威です。
これらのサイバー攻撃は、いわゆるAPT攻撃として知られていますが、非常に高度な技術を伴い、長期かつ組織的に行われるため対応が難しいという側面があります。
それが重要インフラに指向された場合は安全保障上極めて重大な影響を及ぼすとして、米国は情報共有等を含めたセキュリティ強化、実行国への金融制裁や実行犯の訴追等の様々な手段を講じますが、実態としてサイバー攻撃の増加は止まりませんでした。
実は、サイバー攻撃は攻撃側が圧倒的に優位という特性があり、受動的なセキュリティ強化では限界があることは早くから明らかになっていました。
また、サイバー攻撃はテロや戦争等のように物理的な被害が生じにくいため、国際法上、(米国が得意な?)軍事力を利用した対応が難しいという問題もあります。そこで、2018年のトランプ政権時代に米国が打ち出したのが Defense Forward です。
Defense Forward とは
Defense Forwardは、相手の攻撃を待ち受けるのではなく、攻撃を受ける前に相手のネットワークに侵入し、そこに留まり続けて攻撃を直接妨害するとともにそれ以上の攻撃を抑止しようとするものです。上記の安全保障戦略における能動的サイバー防御導入の目的が想定する状況に合致しますよね。
米国はこの施策に基づき、統合軍の一つである Cyber Commandによる様々なサイバー作戦を実際に行っていることを公表しています。
(参照:読売新聞オンライン「アメリカ、ロシアにサイバー攻撃…ナカソネ司令官「攻撃的な作戦を実施」2022/06/02 )。
米国だけでなく、類似の施策は英国やドイツ、フランス等も行っており、攻撃を受ける前からの攻撃的なサイバー作戦によるサイバー攻撃の阻止及び抑止という考えは、世界的には一般的な考えと言えると思います。
能動的サイバー防御とActive Cyber Defense(アクティブ サイバー ディフェンス)
能動的サイバー防御はActive Cyber Defenseと英訳されています。ただし、このActive Cyber Defenseという言葉は定義が明確でなく、様々な意味で使用されているため注意が必要です。
Active Defenseとは
Active Defenseという用語は、元々は米陸軍が強大な物量を誇るソ連軍に対抗するために生み出した防御ドクトリンを指す用語でした。それがサイバーの世界で導入されたものがActive Cyber Defenseですが、当初はあくまでも自らのネットワーク内と外界の境界付近において積極的に侵入者を探知しようとするセキュリティ強化の概念でした。

しかしながら、サイバー攻撃の脅威が高まりを受け、より積極的な防御が必要との認識が高まるなか発表されたのが、2016年にジョージ・ワシントン大学のサイバー&ホームランドセキュリティセンターが公表した“INTO THE GRAY ZONE: The Private Sector and Active Defense Against Cyber Threats”という論文です。この論文では、企業のサイバーセキュリティを念頭に、官民が取り組むべきフレームワークとアクション・アイテムを提示するもので、Active Cyber Defenseの定義づけを試みています。
同論文では、「Active (Cyber) Defenseとは、従来のPassive DefenseとOffenseの間に位置するプロアクティブなサイバーセキュリティ対策のスペクトルを捉えた用語」(簡単に言うと、受動的防御と攻撃の間に広がる一定の幅がある範囲を指す用語、ということ)としています。
その上で、パッシブ・ディフェンスを自らのネットワーク内でファイアウォールやパッチの管理及びウイルス対策ソフトウェア更新等の純粋なセキュリティ活動、
オフェンスを自らのネットワーク外における何らかの行為の強要、コストの賦課、能力の低下及び秘匿情報への無許可アクセス等の害を及ぼす行為として区分します。
つまり、この両者の中間にある幅広い範囲がActive Cyber Defenseなのですが、下限は情報共有、上限は、リスクが高く推奨できないとしつつ、官民共同によるボットのtake downやホワイトハットランサムウェアの使用等までを含んでいます(下記図参照)。
Washington University’s Center for Cyber and Homeland Security, 2016 及び内閣府資料より引用
しかしながら、ハックバックやDDoS攻撃といった反撃行為は明確にオフェンスに区分しており、Active Cyber Defenseには含まれないとしています。
注意しなければならないのは、当該論文でのActive Cyber Defenseはあくまで政府との協同による行為を含めて、企業が合法的に実行できる対抗手段を念頭においており、国家が行う安全保障上の活動を必ずしも指すものではない、ということです。
日本においても「能動的サイバー防御」という用語が公表されるまでは、セキュリティ企業等で一般的に使用されていたActive Cyber Defenseの用語の概念は基本的に上記と同様であり、かつ日本版Active Cyber Defenseの大部分はハニーポッドやWeb beaconの活用といった、やや積極的な情報収集の域を出ないものでした。従いまして、今回政府が発表している「能動的サイバー防御」のような政府機関が安全保障上の活動として他国のネットワーク等に侵入して無害化を行うような行為と従来のActive Cyber Defenseの概念はやや乖離があると考えられます。
「能動的サイバー防御」はどちらかといいますと、先に説明したForward Defenseのイメージの方が近いかもしれません。このあたりの英語訳の選択については今後見直しが求められるかもしれませんね。
具体的な政策と影響は?
では、能動的サイバー防御では具体的に何が行われるのか、企業や個人にどのような影響があるのかを見ていきます。現在は、国家安全保障戦略の「検討」段階をすでに超え、関連法に基づく三つの制度――政府・民間の情報共有、通信情報の利用、アクセス・無害化措置が法的に整理されています。とくにアクセス・無害化措置は、2026年10月1日から実施可能となる見通しです。
1:政府・民間組織の連携
①重要インフラ分野を含め、民間事業者等がサイバー攻撃を受けた場合等の政府への情報共有や、政府から民間事業者等への対処調整、支援等の取組を強化するなどの取組を進める。
2:悪用が疑われるサーバを検知
政府は、対象を通信の本質的内容ではなく、IPアドレスや指令情報などの機械的情報に限定し、自動的な方法で選別すると説明しています。また、同意によらない取得は国外関係通信を対象に、独立機関であるサイバー通信情報監理委員会の承認と継続的な検査の下で行う仕組みです。もっとも、外形情報も「通信の秘密」の保護対象に含まれる以上、制度上の歯止めが実際にどこまで機能するかは今後も検証が必要です。
3:未然に攻撃者サーバを無力化する為、政府への必要な権限付与
③国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにする。
すこし乱暴ですが、簡単に整理すると①政府と民間事業者間の情報共有、特にサイバー攻撃被害等を政府と共有しよう、②通信事業者から怪しい通信の情報を提供してもらいましょう、③重大な脅威にはやられるまえにやってしまいましょう、ということになるかと思います。
能動的サイバー防御の問題点
企業との連携で「政府からの対処調整、支援等」がどこまで行われるかまだ決まっていない
まず、①政府・民間組織の連携ですが、一見当たり前のことで問題がないように思われます。しかしながら、米国のようにサイバー攻撃被害の報告を企業に義務化する、報告をしない場合は制裁金が課される、といった制度になるとどうでしょうか?
企業にとっては内部事情を政府に知られなくない場合や、報告した内容が他の目的に使用されないか不安を感じる可能性もあると思います。
また、ランサムウェアによる被害の場合は、身代金を払うかどうか等の判断にも影響するかと思います。身代金を払ってしまい、かつ報告しないで罰金を科せられる、となると泣き面に蜂のような事態となってしまいます。
「政府からの対処調整、支援等」が企業にとってどの程度有益なものになるのかによっても変わるかと思いますが、具体的な政策がどのようなものになるか注視が必要です。
悪用が疑われるサーバを検知 に関する問題
次に、②「悪用が疑われるサーバを検知」についてです。以前は、「通信事業者が役務提供する通信に係る情報」が具体的に何を指すのか不明確でしたが、現在は制度の輪郭がかなり明らかになっています。政府の説明では、能動的サイバー防御において利用されるのは、通信の本質的な内容そのものではなく、IPアドレスや指令情報など、攻撃サーバなどを検知するために必要な機械的情報が中心とされています。
また、通信情報の取得・分析は、無制限に行われる仕組みではありません。政府は通信事業者などとの協定に基づき通信情報の提供を受けるほか、一定の場合には同意によらず通信情報を取得できる仕組みも設けていますが、その場合でも独立機関であるサイバー通信情報監理委員会の承認や継続的な検査が前提とされています。法制度上は、必要な情報を自動的な方法で選別し、それ以外の情報は速やかに消去する仕組みが組み込まれています。
もっとも、これで懸念がなくなったわけではありません。日本では憲法21条の「通信の秘密」が強く保護されており、通信内容だけでなく、送信元・送信先、IPアドレス、通信日時などの外形的情報も保護対象に含まれると解されています。したがって、たとえ政府が「内容は見ない」「機械的情報に限る」と説明していても、国家が民間通信に関わる情報を取得・分析する以上、プライバシーや通信の自由への慎重な配慮は不可欠です。
特に重要なのは、制度上の歯止めが実際の運用でどこまで機能するかです。対象範囲がどの程度広がるのか、自動選別の基準がどこまで透明化されるのか、監理委員会が実効的に監督できるのか、といった点は今後の大きな焦点です。たとえば、ある端末が本人の知らないうちにマルウェアに感染し、ボット化していた場合、その通信がどの段階で「攻撃に関係するもの」と判断されるのかは、慎重な運用が求められます。制度は以前より具体化しましたが、通信の秘密との緊張関係が解消されたわけではなく、今後は制度そのものの是非よりも、実務上の統制と透明性が問われる段階に入ったといえます。
2024年7月2日 政府は能動的サイバー防御の法制化を見据え、通信監視対象で国内のやりとりは除外を検討している事を明かしました。
未然に攻撃者サーバを無力化する為、政府への必要な権限付与に関する問題
未然に攻撃者サーバを無力化する為、政府への必要な権限付与に関する問題
最後に、③「未然に攻撃者サーバを無力化するため、政府への必要な権限付与」についてです。
以前は、いつ、どのような基準で、誰が判断し、誰が実行するのかが見えにくい制度でしたが、現在は以前よりかなり具体化しています。政府の説明資料や運用指針では、重大なサイバー攻撃やその予兆が認められた場合、国家安全保障会議で対処方針を審議し、その方針に基づいて国家サイバー統括室(NCO)が国家安全保障局と連携しながら、警察と防衛省・自衛隊の役割分担や総合調整を担う枠組みが示されています。
実行主体も、従来より明確になりました。警察による措置は警察官職務執行法の改正部分に基づき、警察庁長官が指名する警察官が実施します。自衛隊による措置は自衛隊法の改正部分に基づき、自衛官が実施する仕組みです。政府は、能力を有する警察と防衛省・自衛隊が共同でアクセス・無害化措置を実施する体制を構築すると説明しており、国家安全保障との整合性を確保しつつ、NCOが司令塔機能を果たす形を採っています。
したがって、現在の論点は「誰がやるのか分からない」という点ではなく、「どの条件で発動されるのか」「どこまで適切に統制できるのか」に移っています。たとえば、国外に所在する攻撃関係サーバー等への措置については、外務大臣との事前協議が必要とされており、独立機関であるサイバー通信情報監理委員会の承認や事後通知の仕組みも設けられています。自衛隊が措置を実施する場合にも、防衛大臣の指揮や所定の手続が必要であり、一定の歯止めは制度上組み込まれています。
もっとも、これで問題が解消したわけではありません。アクセス・無害化措置は、攻撃プログラムの停止や削除など、相手側のシステムに直接作用する措置を含むため、仮に誤認や誤作動があった場合の影響は小さくありません。無関係な第三者のサーバーや正当なサービスに影響を与えた場合、責任の所在や補償の考え方をどうするのかは、今後の運用で厳しく問われることになります。また、国外サーバーへの措置は、相手国の主権や国際法上の整理とも関わるため、国内法上の権限付与だけで完結する問題ではありません。
さらに、2026年3月には、政府がアクセス・無害化措置を10月1日から可能にすることを決めたと報じられており、制度はすでに実装段階に入っています。つまり、いま問われるべきなのは、制度を作るかどうかではなく、どの閾値で発動するのか、警察と自衛隊の連携が実際に機能するのか、独立機関による統制が形骸化しないか、という運用そのものです。
まとめ
本日は最近話題の能動的サイバー防御について解説いたしました。
安全保障関連の話題はあまり馴染みがない方も多いと思いますが、具体化される方向性によっては企業や個人の生活に大きな影響が及ぶ可能性があり、少し怖いものかもしれない、ということは知っておいた方がよいかもしれませんね。
能動的サイバー防御は、もはや「これから議論される構想」ではなく、法制化と組織整備を経て、2026年10月の無害化措置開始を控える実装段階に入っています。今後の焦点は、制度導入の是非そのものではなく、通信の秘密との整合、発動基準の明確性、監督機関の実効性、誤作動時の責任の所在をどう担保するかに移っています
関連記事








