近年、重要インフラを標的としたサイバー攻撃は巧妙化・深刻化の一途をたどり、従来の受動的な防御体制では対応が難しくなっています。こうした状況を受け、2025年5月に「サイバー対処能力強化法」が成立しました。2026年中の施行を控え、基幹インフラ事業者をはじめとする多くの企業が、新たな義務への対応という課題に直面しています。
本記事では、法律の概要から対象事業者、企業に求められる具体的な対応をわかりやすく解説します。
サイバー対処能力強化法とは
サイバー対処能力強化法の正式名称は「重要電子計算機に対する不正な行為による被害の防止に関する法律」です。名称が長いことから、一般的には「サイバー対処能力強化法」と呼ばれています。
この法律は、サイバー対処能力強化法本体と、関連する既存法を改正する「同整備法」の2つで構成されており、同整備法によってサイバーセキュリティ基本法・警察官職務執行法・自衛隊法など多岐にわたる法律も改正されます。
施行スケジュールは、2025年5月16日に国会で成立し、同月23日に公布されました。大部分の規定は公布から1年6カ月以内(2026年中)に施行される予定です。なお、通信情報の利用に関する規定については、公布から2年6か月以内の施行となる予定であり、順次整備が進む見通しです。
サイバー対処能力強化法が制定された背景
サイバー対処能力強化法が制定された背景には、サイバー攻撃の深刻化と、欧米主要国との対応能力の格差という2つの大きな課題がありました。ここでは、法整備が求められた背景を解説します。
サイバー攻撃の巧妙化・深刻化による被害の拡大
近年、国内外でサイバー攻撃の件数は増加しており、その手口も巧妙化しています。たとえば、2021年には米国のコロニアルパイプラインがランサムウェア攻撃を受け、燃料供給が停止する事態が発生しました。
また、2022年には大阪急性期・総合医療センターが攻撃を受けて診療業務が大幅に制限され、2023年には名古屋港でシステム障害が発生してコンテナ搬出入業務が一時停止するなど、重要な社会機能に影響を及ぼす事象も確認されています。
こうした重要インフラを標的とする攻撃に加え、国家を背景とした高度なサイバー攻撃も日常的に行われており、安全保障上の深刻な懸念となっています。
2025年に発生したサイバー攻撃の事例については、以下の記事で詳しく解説しています。あわせてお読みください。
【2025年最新】国内外のサイバー攻撃事例10選!対策方法も紹介
サイバー対応能力の強化が求められる国際的な潮流
サイバー攻撃への対処能力強化は、今や世界各国で共通の課題となっています。米国や英国・ドイツといった欧米各国にとどまらず、韓国・台湾・イスラエルなどにおいても、サイバー攻撃に積極的に対処するための法整備や体制構築が進んでいます。
こうした国際的な潮流の中、日本ではサイバー攻撃への対処に関する法的根拠が十分に整備されておらず、対応能力の底上げが急務となっています。2022年12月に閣議決定された国家安全保障戦略では、サイバー安全保障分野での対応能力を主要国と同等以上に向上させることが明記され、その具体化に向けた法整備が強く求められるようになりました。
能動的サイバー防御とは
能動的サイバー防御(Active Cyber Defence)とは、サイバー攻撃を受けた後に対処する「受動的防御」とは異なり、攻撃の兆候を早期に把握し、被害が発生する前に未然に防ぐ「能動的防御」の考え方です。
国や重要インフラ等に対する重大なサイバー攻撃のおそれがある場合、先んじて攻撃インフラを排除し、被害の拡大を防止する体制を指します。 サイバー対処能力強化法は、国家安全保障戦略で示されたこの「能動的サイバー防御」を法的に実現するために整備された法律です。
この法律によって、政府は能動的サイバー防御に必要な権限、すなわち通信情報の利用や攻撃者サーバーへの侵入・無害化などを適法に行使できるようになります。
能動的サイバー防御を実現する4つの柱
サイバー対処能力強化法では、能動的サイバー防御を実現するための手段として、以下4つの柱が規定されています。
- 官民連携の強化
重要インフラ事業者と政府の情報共有体制を強化し、迅速な対処・支援を可能にします。 - 通信情報の利用
電気通信事業者の通信情報を政府が取得・分析し、攻撃者のサーバーなどを早期に検知します。 - 攻撃者サーバーへの侵入・無害化
警察や自衛隊が攻撃者のサーバーなどに侵入し、無害化する権限を付与します。 - 組織・体制の整備
NISCを改組し国家サイバー統括室(NCO)を設置。サイバー通信情報監理委員会も新設されます。
これら4つの柱が連携することで、従来の受動的防御では対応が難しかった高度なサイバー攻撃への対処を可能にします。
サイバー対処能力強化法の対象事業者
サイバー対処能力強化法は、すべての企業が直接の対象になるわけではありません。法律で定められた3つの事業者類型ごとに、求められる対応の内容が異なります。ここでは対象事業者別に紹介します。
基幹インフラ事業者(15分野の特定社会基盤事業者)
基幹インフラ事業者とは、経済安全保障推進法に基づき各主務大臣が個別に指定する「特定社会基盤事業者」を指します。電気・ガス・石油・水道・鉄道・貨物自動車運送・外航貨物・港湾運送・航空・空港・電気通信・放送・郵便・金融・クレジットカードの15分野が対象となっており、それぞれの分野を所管する省庁が個別に事業者を指定します。
基幹インフラ事業者は、本法律において最も多くの義務が課される事業者類型です。特定重要電子計算機の届出義務やセキュリティインシデント発生時の報告義務のほか、政府との協議会への参加要請や情報共有協定締結の協議への対応など、複数の新たな対応が求められます。
電気通信事業者
電気通信事業者とは、通信キャリア(携帯電話事業者・固定電話事業者)やISP(インターネットサービスプロバイダー)など、電気通信役務を提供する事業者を指します。
本法律では、政府がサイバー攻撃に用いられていると疑われる通信情報の分析を行うにあたり、電気通信事業者が独立機関であるサイバー通信情報監理委員会の承認を条件として、政府に特定の通信データを提供する仕組みが設けられています。
通信の秘密や個人のプライバシーへの配慮から、対象範囲は外外通信・外内通信・内外通信に限定されており、厳格な要件と手続きのもとで運用されます。
ITベンダー・関連企業(システム開発・保守事業者等)
ITベンダー・関連企業とは、基幹インフラ事業者が利用するシステムの開発・保守運用を行う事業者や、汎用的なソフトウェア・機器を提供する事業者を指します。 これらの事業者は基幹インフラ事業者に比べて直接課される義務は限定的ですが、官民共同の協議会への参加要請を受ける可能性があります。
また、基幹インフラ事業者のサプライチェーンに組み込まれている企業は、取引先からセキュリティ対策の強化や脆弱性情報の提供を求められるケースが増えることが予想されます。自社がサプライチェーンに含まれているかどうかを把握し、間接的な影響を見越した備えが必要です。
企業が準備すべき具体的な対応
2026年中の施行に向けて、対象事業者は今から準備を進めることが重要です。ここでは、基幹インフラ事業者を中心に、企業が取り組むべき3つの具体的な対応を解説します。
特定重要電子計算機の届出体制の整備
特定重要電子計算機とは、基幹インフラシステムの中核を担う重要なコンピューターやプログラムを指します。具体的にはファイアウォール・VPN装置・認証サーバー・重要なアプリケーションサーバーなどが想定されます。 基幹インフラ事業者はこれらの機器・ソフトウェアを導入する際に、製品名・製造者名・導入予定時期等を所管大臣に届け出る義務があります。
施行時点で既に導入済みのものについても、施行後一定の猶予期間内に届出が必要です。どの機器・システムが届出対象となるかは主務省令で定められますが、自社の基幹インフラシステムの構成を今から整理し、対象機器の洗い出しを進めておくとよいでしょう。
セキュリティインシデント報告体制の構築
基幹インフラ事業者は、不正アクセスやマルウェア感染などのセキュリティ侵害事象を知った際に、速やかに所管大臣と国家サイバー統括室(NCO)に報告する義務があります。注目すべき点は、確定的な侵害だけでなく、その原因となり得る「ヒヤリハット」事象も報告対象となる可能性があることです。
管理者IDやパスワードの窃取、マルウェアの痕跡、不審なアクセスログなども報告対象に含まれると考えられます。 この義務に対応するには、インシデントを迅速に検知し報告できる体制の整備が不可欠です。24時間365日の監視体制の構築、報告フローの明確化、担当者のアサインなど、詳細な手続きが主務省令で定められる前から準備を始めておくことが推奨されます。
政府との協議会・協定への対応準備
基幹インフラ事業者は、内閣総理大臣・関係行政機関・基幹インフラ事業者・ITベンダーで構成される官民共同の協議会への参加を要請される可能性があります。協議会ではサイバー攻撃に関する情報を共有し、構成員には守秘義務が課されます。
また、政府との間で外内通信情報の提供と分析結果の受領に関する協定締結の協議を求められた場合、正当な理由がない限り協議に応じる必要があります。なお、協定を締結しない場合でも不利益を与えない旨が基本方針等に明記される予定です。
協議会への参加や協定締結の可否については、情報セキュリティ部門だけでなく法務・経営層を含めた社内の意思決定体制を事前に整えておくことが重要です。
まとめ
サイバー対処能力強化法は、日本のサイバー安全保障体制を欧米主要国と同等水準に引き上げるための根拠法です。2026年中の施行を控え、基幹インフラ事業者には特定重要電子計算機の届出・インシデント報告・協議会対応など、新たな義務への対応が求められます。まずは届出対象機器の洗い出しと報告体制の整備から、早めに準備を進めることが重要です。
法律への対応を進める上でインシデント報告義務の前提となるのが、不正アクセスやマルウェア感染を迅速に検知できる体制の整備です。「Cloudbric WAF+」は、WAF・DDoS攻撃対策・ボット対策・API保護を統合したクラウド型セキュリティサービスで、AIによる自動検知により攻撃をリアルタイムで把握できます。報告体制の構築とあわせてご検討ください。