近年、悪意あるボットによるスクレイピング攻撃が増加傾向にあります。競合他社による価格情報の不正取得、大量のID・パスワードを使った不正ログイン（クレデンシャルスタッフィング）、AI学習データを目的とした無差別なデータ収集など、その被害は多岐にわたります。

本記事では、スクレイピングの仕組みや主な手口、実際の被害事例を整理したうえで、robots.txtからレートリミット・CAPTCHA・WAF導入まで、有効な対策を網羅的に解説します。

スクレイピングとは

スクレイピングとは、プログラムが自動でWebサイトにアクセスし、データを収集する技術です。正当な用途でも広く使われている一方、悪用されるケースも増えており、自社サイトへの脅威として注目されています。ここではスクレイピングについて紹介します。

スクレイピングの仕組み

スクレイピングとは、プログラムが自動でWebサイトにHTTPリクエストを送信し、返ってきたHTMLを解析してデータを抽出する技術です。通常のブラウザアクセスと同じ仕組みを利用するため、見た目上は「普通のアクセス」と区別がつきにくい点が特徴です。

混同されやすい「クローリング」はサイトを巡回してページを特定する行為であり、スクレイピングはそこからデータを抽出する行為を指します。実際の攻撃では、この2つを組み合わせた手法が一般的です。

スクレイピングが使われる用途

スクレイピングには正当な用途と悪用される用途の両面があります。正当な用途としては、価格比較サイトによる商品情報の自動収集、研究目的でのデータ収集、SEOツールによる自社サイト情報の定期取得などが挙げられます。

一方で悪用されるケースも少なくありません。競合他社の価格情報の不正取得、大量のメールアドレス・個人情報の収集、AIモデルへの無断データ提供などが問題となっています。同じ技術が合法・違法の両面で使われうる点が、対策を複雑にしています。

スクレイピングの違法性

スクレイピング自体は、法律で一律に禁止されているわけではありません。ただし、以下のような場合には法律に抵触するリスクがあります。

• 不正アクセス禁止法：認証を回避してアクセスした場合
• 著作権法：コンテンツをそのまま無断複製・公開した場合
• 不正競争防止法：営業秘密にあたる情報を取得した場合
• その他利用規約違反：AmazonやXなど、スクレイピングを明示的に禁止しているサービスへのアクセス

違法かどうかはアクセスの方法や目的、取得した情報の扱いによって判断が異なります。「スクレイピングだから問題ない」と一概に判断できない点には注意が必要です。

スクレイピングの主な手口

Webスクレイピングの手口は年々高度化しており、単純なボットから人間の操作を模倣した高度なツールまで、さまざまな方法が用いられています。ここでは、代表的な4つの手口を紹介します。

単純なHTTPリクエストによる手口

最も基本的な手口が、PythonのRequestsライブラリやBeautifulSoupを使って静的なHTMLを直接取得する方法です。JavaScriptを使わないシンプルなサイトや、APIエンドポイントが外部に露出しているサイトが標的になりやすい傾向があります。

短時間に大量のリクエストを送ることでサーバーに過負荷をかけ、サービス障害を引き起こすケースもあります。

ブラウザ自動化ツールを悪用した手口

SeleniumやPlaywright、Puppeteerといったブラウザ自動化ツールを使い、実際のブラウザ操作を模倣する手口です。

JavaScriptが必要なSPAやログイン後のページにもアクセスでき、通常のブラウザと見分けがつきにくい点が特徴です。単純なUAフィルタでの検知が難しく、CAPTCHAの突破にも悪用されるケースがみられます。

プロキシ・IPローテーションを使った手口

攻撃者が数百〜数千のIPアドレスを使い回すことで、IPブロックをすり抜ける手口です。一般家庭のIPアドレス（レジデンシャルプロキシ）を経由することで検知がさらに難しくなります。

クラウドサービスや海外のVPSを経由するケースも多く、地理的なアクセス制限も回避されやすい点が課題となっています。

偽CAPTCHAを悪用した手口

本物のCAPTCHAに見せかけた偽の認証画面をユーザーに表示し、マルウェアのインストールや認証情報の入力へ誘導する手口です。

スクレイピングの前段階として正規ユーザーのアカウント情報を不正取得するフィッシング的な使われ方が問題となっており、IPAの「情報セキュリティ10大脅威 2025」でも注意が呼びかけられています。

スクレイピングによる被害事例

スクレイピングや悪意あるボットによる被害は、情報窃取からサービス障害まで幅広い範囲に及んでいます。ここでは、実際に発生している代表的な3つの被害事例を紹介します。

事例①　クレデンシャルスタッフィング攻撃（リスト型攻撃）

クレデンシャルスタッフィングとは、スクレイピング等で収集した大量のID・パスワードをボットで自動入力し、不正ログインを試みる手口です。国内でも通販・ECサイトへのなりすまし注文や不正購入の被害が相次いでおり、警察庁「令和７年におけるサイバー空間をめぐる脅威の情勢等について」でもリスト型攻撃が深刻な問題として取り上げられています。正規の認証情報を使うため通常のログインとの区別がつきにくく、被害に気づきにくい点が厄介です。

事例②　ECサイトへの不正アクセス・カード情報窃取

ボットによる自動探索でECサイトの脆弱なエンドポイントを発見し、ペイメントアプリケーションを改ざんしてカード情報を窃取するWebスキミングも確認されています。経済産業省の「クレジットカード・セキュリティガイドライン」でも深刻な脅威として取り上げられています。

改ざんに気づかないまま長期間放置されるケースもあり、発覚時には数万件規模の個人情報・カード情報が流出していたという事例も報告されています。

事例③　AIボットによる大規模スクレイピングとサービス障害

AI学習データの需要急増を背景に、大規模ボットによるスクレイピングがWebサービスのサーバー負荷を急増させ、サービス障害を引き起こすケースが増加傾向にあります。X（旧Twitter）が2023年に受けたAIボットによる大量スクレイピングはその代表例として知られています。

IPA「情報セキュリティ10大脅威 2026」でも、AIを悪用した攻撃の高度化・自動化がスクレイピング被害拡大の背景として指摘されています。

スクレイピングに有効な対策とは

スクレイピング攻撃への対策は、単一の手法だけでは効果が限定的です。複数の対策を組み合わせることで、ボットの検知精度と防御の強度を高めることができます。ここでは、代表的な6つの対策を紹介します。

robots.txtの設定

robots.txtとは、Webサイトのルートディレクトリに設置するテキストファイルで、クローラーに対してアクセスの可否を伝える仕組みです。

Googleなどの正規クローラーはrobots.txtを尊重しますが、悪意あるボットは無視するケースが多く、これだけで攻撃を防ぐことはできません。あくまでアクセス制御の入口として位置づけ、他の対策と組み合わせることが重要です。

レートリミット

レートリミットとは、特定のIPアドレスや接続元から一定時間内に送信できるリクエスト数に上限を設ける対策です。異常に高頻度なアクセスをボットとして検知・制限できます。

初歩的なスクレイパーには有効ですが、プロキシIPローテーションを使うボットには回避される場合もあるため、IPブロックやUA検証と組み合わせた運用が推奨されます。

IPアドレスのブロック

アクセスログを分析し、短時間に大量リクエストを送信しているIPや既知の悪性IPをブロックする方法です。データセンターやVPSのIPレンジ単位でのブロックも有効です。

ただし、レジデンシャルプロキシを使われると検知が難しくなるため、IPブロック単独には限界があります。定期的なブロックリストの更新と、他の検知手法との組み合わせが求められます。

ユーザーエージェント（UA）の検証

HTTPリクエストに含まれるUA情報を検証し、スクレイピングライブラリの特徴的な文字列（例：Python-requests）などをフィルタリングする方法です。低度な攻撃には一定の効果がありますが、SeleniumなどによるUA偽装には突破されやすい点が課題です。

UA検証単独での判定は危険なため、行動分析など他の指標と組み合わせた多層的な判定が必要です。

CAPTCHAの導入と偽CAPTCHAへの注意

CAPTCHA（reCAPTCHAなど）は、人間であることを確認するチャレンジを課すことで、ボットによる自動アクセスを抑制する仕組みです。

一方で、偽CAPTCHAを使ってマルウェア感染や認証情報の詐取を狙う攻撃も増えており、IPAも注意を呼びかけています。正規のCAPTCHAサービスの使用と、ユーザーへの周知を組み合わせることが重要です。

WAF（Web Application Firewall）の導入

WAFは、Webアプリケーションへの通信をリアルタイムで監視・解析し、ボットや不正なリクエストを自動的に検知・遮断するセキュリティ対策です。IPブロック・UA検証・レートリミット・シグネチャマッチングなどを統合的に実行できる点が特徴で、スクレイピング対策の中核として機能します。

特にクラウド型WAFは最新の攻撃パターンへの対応が自動更新され、専門知識がなくても導入・運用しやすい傾向にあります。

以下の記事ではWAFの4製品を比較しています。あわせてお読みください。

【2025年版】WAFのおすすめ4製品を比較！機能や価格をわかりやすく紹介

まとめ

スクレイピング攻撃は、クレデンシャルスタッフィングやWebスキミング、AIボットによるサービス障害など多様な被害につながります。robots.txtやIPブロック・UA検証といった個別手法は有効ですが、単独では限界もあります。これらを組み合わせた多層防御の中核となるのが、WAFの導入です。

「Cloudbric WAF+」は、WAF・ボット対策・DDoS防御・API保護を統合したクラウド型WAFです。AIによる自動検知で未知の攻撃にも対応し、専門知識がなくても導入・運用が容易です。

スクレイピング対策の強化をお考えの方は、ぜひお気軽にお問い合わせください。

近年、企業のWebサービスを狙うサイバー攻撃は多様化しています。APIを悪用した不正アクセスやボットによる自動化攻撃、大規模なDDoS攻撃など、従来のWAF単体では防ぎきれない脅威が増えているのが実情です。

こうした背景から生まれたのが「WAAP（Web Application and API Protection）」という次世代の防御概念です。Cloudbric WAF+は、WAAPを実現するクラウド型セキュリティサービスとして6つのコアセキュリティを統合しています。本記事では、機能の詳細・選ばれる理由・料金・導入方法までをわかりやすく解説します。

Cloudbric WAF+とは

クラウド型WAFサービス Cloudbric WAF+

Cloudbric WAF+は、ペンタセキュリティ株式会社が提供するクラウド型WAFサービスです。WAFの基本機能に加え、DDoS攻撃遮断・API保護・ボット対策・Malicious IP遮断・SSL証明書の自動発行という6つのコアセキュリティをひとつのサービスに統合しており、「WAAPを超えたクラウドサービス」として位置づけられています。

社内にセキュリティ専門家がいない企業でも導入・運用しやすい設計が大きな特長です。中小企業から大企業まで、業種を問わず幅広い企業での導入実績を持ちます。

従来のWAFが抱える課題

従来のWAFは、SQLインジェクションやXSSなど既知の攻撃を検知・遮断する点では有効ですが、攻撃の多様化にともない、いくつかの限界が顕在化しています。

• API通信を悪用した不正アクセスや情報漏えいへの対応が難しい
• ボットによる大量アクセスや自動化攻撃を防ぎきれないケースがある
• 複数のセキュリティツールを個別導入すると、管理コストと運用負荷が積み重なる
• シグネチャー更新や誤検知対応には専門知識が必要で、担当者不在の企業では適切な運用が難しい

IPAの「情報セキュリティ10大脅威 2026」でもWebアプリ層を狙う攻撃が上位を占め、脅威の深刻さが裏付けられています。

WAAPとは

WAAP（Web Application and API Protection）は、米ガートナー社が提唱した次世代Webセキュリティの概念です。WAFの機能を発展させ、API保護・ボット対策・DDoS防御を統合した包括的な防御基盤を指します。

WAAPが登場した背景には、Webを取り巻く脅威の変化があります。クラウドサービスやスマートフォンアプリの普及によりAPI通信が急増し、悪性ボットによる自動化攻撃やDDoS攻撃も高度化が進んでいます。こうした多様な攻撃に対し、Webアプリへの不正リクエスト遮断に特化した従来のWAFだけでは対応しきれないケースが増えました。

WAAPはこの課題を解決するため、WebアプリとAPIを一体で守る統合防御として設計されており、Webセキュリティの新たな標準として急速に普及しています。

Cloudbric WAF+はWAAPが定義するWAF・API保護・ボット対策・DDoS防御の4機能を中核としつつ、Malicious IP遮断とSSL証明書の自動発行・管理という独自機能を加えた6つのコアセキュリティを搭載しています。

WAAPについては、以下の記事で詳しく解説しています。あわせてお読みください。

WAAPとは？次世代Web防御の仕組みとWAFからの進化を徹底解説

Cloudbric WAF+の6つの機能

Cloudbric WAF+は、WAF・DDoS攻撃遮断・API保護・ボット対策・Malicious IP遮断・SSL証明書の自動発行という多層的な防御機能により、多様化するサイバー攻撃から企業のWebビジネスを包括的に保護します。ここでは機能の詳細について紹介します。

機能① WAF（Webアプリケーションファイアウォール）

WAAPの中核を担うのがWAF機能です。Cloudbric WAF+では、シグネチャー型とは異なる独自の論理演算検知エンジンとAIエンジンを組み合わせ、攻撃を高精度に検知・遮断します。

SQLインジェクションやクロスサイトスクリプティング（XSS）、コマンドインジェクションなど、代表的なWeb攻撃に幅広く対応しています。また、通信内容をリアルタイムで分析し、攻撃の傾向をログで可視化することも可能です。

この検知エンジンは日本を含む5カ国で特許を取得しており、技術力の高さを客観的な形で裏付けています。

以下の記事では4つのWAF製品を比較しています。あわせてお読みください。

【2025年版】WAFのおすすめ4製品を比較！機能や価格をわかりやすく紹介

機能② DDoS攻撃遮断

DDoS（分散型サービス拒否）攻撃は、大量のリクエストを送りつけてサーバーを過負荷状態にし、Webサービスを停止させる手法です。近年はアプリケーション層を狙った高度な攻撃も増加しています。

Cloudbric WAF+では、ネットワーク・トランスポート層（L3/L4）とアプリケーション層（L7）へのDDoS攻撃をスマートトラフィックフィルターで遮断します。クラウドのスクラビング機能で攻撃トラフィックを除去し、正規のアクセスのみを通過させる仕組みにより、大規模な攻撃を受けてもサービスの継続性を確保できます。

DDoS攻撃の対策については、以下の記事で詳しく解説しています。あわせてお読みください。

DDoS攻撃への対策とは？攻撃手法や実際の被害事例も紹介

機能③ API保護

API通信はビジネスに不可欠なインフラとなっている一方、攻撃対象としても急速に狙われやすくなっています。

Cloudbric WAF+はランタイムプロテクション方式でAPI通信の脅威をリアルタイムに検知・遮断します。不正トークンの利用や認証回避、想定外のAPIアクセスといった異常な挙動を自動的にブロックし、安全なデータ連携と安定したサービス運用を支えます。

機能④ ボット対策

悪性ボットによる認証突破・アカウント乗っ取り・商品の自動購入といった不正行為が増加する一方、検索エンジンのクローラーのような良性ボットは業務上必要なものもあります。

Cloudbric WAF+では、ユーザーエージェントやアクセス頻度・行動パターンを分析して悪性ボットと良性ボットを正確に識別し、制御・管理します。カスタムボットの設定も可能で、正規ユーザーの利便性を損なうことなくサービス品質とセキュリティを両立します。

機能⑤ Malicious IP遮断

攻撃者は特定のIPアドレスから繰り返し不正アクセスを試みることが多く、既知の脅威IPをあらかじめ遮断することは効果的な予防策のひとつです。

Cloudbric WAF+は、171カ国・約70万サイトから収集した脅威情報をもとに、危険度スコアリングの高い脅威IPを自動的に遮断します。スコアは毎朝更新されるため、常に最新の脅威インテリジェンスが適用された状態を維持できます。Cloudbric Labsの脅威分析力を活かした予防的な防御アプローチにより、攻撃が到達する前の段階でリスクを低減します。

機能⑥ SSL証明書の自動発行・管理

WebサイトのHTTPS化はセキュリティの基本ですが、SSL証明書の取得・更新・管理を手動で行うと、担当者の負担になりやすく、更新忘れによるサイト停止リスクも生じます。

Cloudbric WAF+では、Let’s Encryptのドメイン認証SSL証明書を無料で自動発行・管理します。手動での証明書更新作業が不要になり、更新忘れによるセキュリティリスクを排除できます。導入の手間を省けるだけでなく、外部サービスへの証明書費用も削減できるため、運用コストの低減にも直結します。

SSLについては、以下の記事で詳しく解説しています。あわせてお読みください。

SSLとは？Webサイトのセキュリティを強化できる仕組みと設定方法

Cloudbric WAF+が選ばれる理由

多くのWAFサービスが存在するなかで、Cloudbric WAF+が選ばれる背景には、技術・運用・サポート・信頼性の4つの観点における明確な差別化ポイントがあります。ここでは、それぞれの強みを詳しく解説します。

理由①特許技術による高精度な攻撃検知

Cloudbric WAF+の中核を支えるのが、日本を含む5カ国で特許を取得した独自の論理演算検知エンジンです。構文解析・比較解析を組み合わせることで、シグネチャー型では難しいゼロデイ攻撃や未知の脅威にも対応します。

その性能は第三者機関によっても客観的に証明されており、国際的な試験評価機関であるスイスのwizlynx groupが実施したWAF侵入テスト（2020年）でも高い優位性が確認されています。

理由②マネージドサービスで運用負荷を低減

Cloudbric WAF+には、セキュリティエキスパートによる24時間365日のマネージドサービスが標準で付帯します。セキュリティポリシーの作成・適用、最新脆弱性への対応、異常トラフィックの検出・遮断、誤検知対応まで専門家が代行します。社内に専任担当者がいない企業でも高いセキュリティレベルを継続的に維持できる体制です。

理由③DNS切り替えだけで導入完了・直感的なUI

セキュリティ製品の導入にあたって、複雑な設定作業や長い導入期間がネックになるケースは少なくありません。Cloudbric WAF+はエージェントやモジュールのインストールが不要で、DNSの切り替えだけで導入が完了します。

導入後は直感的なUIから脅威の検知・遮断状況をリアルタイムにモニタリングでき、専門知識がなくても運用しやすい設計になっています。また、過去3カ月分の月次レポートが自動作成されるため、定期的なセキュリティ報告の工数も大幅に削減できます。手軽に始められながら、高度なセキュリティを維持できる点が大きな強みです。

理由④国際基準・第三者評価による信頼性

Cloudbric WAF+はクレジットカードの国際セキュリティ基準であるPCI DSS v4.0.1に準拠しており、導入企業はその実績をコンプライアンス対応に活用できます。

また、世界的な調査機関であるガートナー社の「Representative Providers」に選出された実績を持ち、グローバルでの評価も確立されています。これらの第三者評価を支えるのが、WAF専門メーカーであるペンタセキュリティが20年以上にわたり蓄積してきたノウハウと実績です。技術力・運用力・信頼性の三拍子が揃ったサービスとして、多くの企業から支持を集めています。

まとめ

Web攻撃の多様化が進む今、WAFの機能だけでは守りきれない領域が広がっています。複合的な脅威に対応するには、WAAPという包括的な防御基盤への移行が現実的な選択肢となっています。

Cloudbric WAF+は、6つのコアセキュリティを統合したクラウド型WAFサービスです。特許取得済みの高精度な検知エンジンと24時間365日のマネージドサービスにより、社内にセキュリティ専門家がいない企業でも、高いセキュリティレベルを維持できます。月額28,000円から導入でき、30日間の無料トライアルも用意されています。

Cloudbric WAF+について詳しくはこちら

自社のWebセキュリティ強化をお考えの方は、お気軽にお問い合わせください。

お問い合わせはこちら

近年、重要インフラを標的としたサイバー攻撃は巧妙化・深刻化の一途をたどり、従来の受動的な防御体制では対応が難しくなっています。こうした状況を受け、2025年5月に「サイバー対処能力強化法」が成立しました。2026年中の施行を控え、基幹インフラ事業者をはじめとする多くの企業が、新たな義務への対応という課題に直面しています。

本記事では、法律の概要から対象事業者、企業に求められる具体的な対応をわかりやすく解説します。

サイバー対処能力強化法とは

サイバー対処能力強化法の正式名称は「重要電子計算機に対する不正な行為による被害の防止に関する法律」です。名称が長いことから、一般的には「サイバー対処能力強化法」と呼ばれています。

この法律は、サイバー対処能力強化法本体と、関連する既存法を改正する「同整備法」の2つで構成されており、同整備法によってサイバーセキュリティ基本法・警察官職務執行法・自衛隊法など多岐にわたる法律も改正されます。  

施行スケジュールは、2025年5月16日に国会で成立し、同月23日に公布されました。大部分の規定は公布から1年6カ月以内（2026年中）に施行される予定です。なお、通信情報の利用に関する規定については、公布から2年6か月以内の施行となる予定であり、順次整備が進む見通しです。

サイバー対処能力強化法が制定された背景

サイバー対処能力強化法が制定された背景には、サイバー攻撃の深刻化と、欧米主要国との対応能力の格差という2つの大きな課題がありました。ここでは、法整備が求められた背景を解説します。

サイバー攻撃の巧妙化・深刻化による被害の拡大

近年、国内外でサイバー攻撃の件数は増加しており、その手口も巧妙化しています。たとえば、2021年には米国のコロニアルパイプラインがランサムウェア攻撃を受け、燃料供給が停止する事態が発生しました。

また、2022年には大阪急性期・総合医療センターが攻撃を受けて診療業務が大幅に制限され、2023年には名古屋港でシステム障害が発生してコンテナ搬出入業務が一時停止するなど、重要な社会機能に影響を及ぼす事象も確認されています。

こうした重要インフラを標的とする攻撃に加え、国家を背景とした高度なサイバー攻撃も日常的に行われており、安全保障上の深刻な懸念となっています。

2025年に発生したサイバー攻撃の事例については、以下の記事で詳しく解説しています。あわせてお読みください。

【2025年最新】国内外のサイバー攻撃事例10選！対策方法も紹介

サイバー対応能力の強化が求められる国際的な潮流

サイバー攻撃への対処能力強化は、今や世界各国で共通の課題となっています。米国や英国・ドイツといった欧米各国にとどまらず、韓国・台湾・イスラエルなどにおいても、サイバー攻撃に積極的に対処するための法整備や体制構築が進んでいます。

こうした国際的な潮流の中、日本ではサイバー攻撃への対処に関する法的根拠が十分に整備されておらず、対応能力の底上げが急務となっています。2022年12月に閣議決定された国家安全保障戦略では、サイバー安全保障分野での対応能力を主要国と同等以上に向上させることが明記され、その具体化に向けた法整備が強く求められるようになりました。

能動的サイバー防御とは

能動的サイバー防御（Active Cyber Defence）とは、サイバー攻撃を受けた後に対処する「受動的防御」とは異なり、攻撃の兆候を早期に把握し、被害が発生する前に未然に防ぐ「能動的防御」の考え方です。

国や重要インフラ等に対する重大なサイバー攻撃のおそれがある場合、先んじて攻撃インフラを排除し、被害の拡大を防止する体制を指します。  サイバー対処能力強化法は、国家安全保障戦略で示されたこの「能動的サイバー防御」を法的に実現するために整備された法律です。

この法律によって、政府は能動的サイバー防御に必要な権限、すなわち通信情報の利用や攻撃者サーバーへの侵入・無害化などを適法に行使できるようになります。

能動的サイバー防御を実現する4つの柱

サイバー対処能力強化法では、能動的サイバー防御を実現するための手段として、以下4つの柱が規定されています。

• 官民連携の強化
  重要インフラ事業者と政府の情報共有体制を強化し、迅速な対処・支援を可能にします。
• 通信情報の利用
  電気通信事業者の通信情報を政府が取得・分析し、攻撃者のサーバーなどを早期に検知します。
• 攻撃者サーバーへの侵入・無害化
  警察や自衛隊が攻撃者のサーバーなどに侵入し、無害化する権限を付与します。
• 組織・体制の整備
  NISCを改組し国家サイバー統括室（NCO）を設置。サイバー通信情報監理委員会も新設されます。

これら4つの柱が連携することで、従来の受動的防御では対応が難しかった高度なサイバー攻撃への対処を可能にします。

サイバー対処能力強化法の対象事業者

サイバー対処能力強化法は、すべての企業が直接の対象になるわけではありません。法律で定められた3つの事業者類型ごとに、求められる対応の内容が異なります。ここでは対象事業者別に紹介します。

基幹インフラ事業者（15分野の特定社会基盤事業者）

基幹インフラ事業者とは、経済安全保障推進法に基づき各主務大臣が個別に指定する「特定社会基盤事業者」を指します。電気・ガス・石油・水道・鉄道・貨物自動車運送・外航貨物・港湾運送・航空・空港・電気通信・放送・郵便・金融・クレジットカードの15分野が対象となっており、それぞれの分野を所管する省庁が個別に事業者を指定します。  

基幹インフラ事業者は、本法律において最も多くの義務が課される事業者類型です。特定重要電子計算機の届出義務やセキュリティインシデント発生時の報告義務のほか、政府との協議会への参加要請や情報共有協定締結の協議への対応など、複数の新たな対応が求められます。

電気通信事業者

電気通信事業者とは、通信キャリア（携帯電話事業者・固定電話事業者）やISP（インターネットサービスプロバイダー）など、電気通信役務を提供する事業者を指します。  

本法律では、政府がサイバー攻撃に用いられていると疑われる通信情報の分析を行うにあたり、電気通信事業者が独立機関であるサイバー通信情報監理委員会の承認を条件として、政府に特定の通信データを提供する仕組みが設けられています。

通信の秘密や個人のプライバシーへの配慮から、対象範囲は外外通信・外内通信・内外通信に限定されており、厳格な要件と手続きのもとで運用されます。

ITベンダー・関連企業（システム開発・保守事業者等）

ITベンダー・関連企業とは、基幹インフラ事業者が利用するシステムの開発・保守運用を行う事業者や、汎用的なソフトウェア・機器を提供する事業者を指します。  これらの事業者は基幹インフラ事業者に比べて直接課される義務は限定的ですが、官民共同の協議会への参加要請を受ける可能性があります。

また、基幹インフラ事業者のサプライチェーンに組み込まれている企業は、取引先からセキュリティ対策の強化や脆弱性情報の提供を求められるケースが増えることが予想されます。自社がサプライチェーンに含まれているかどうかを把握し、間接的な影響を見越した備えが必要です。

企業が準備すべき具体的な対応

2026年中の施行に向けて、対象事業者は今から準備を進めることが重要です。ここでは、基幹インフラ事業者を中心に、企業が取り組むべき3つの具体的な対応を解説します。

特定重要電子計算機の届出体制の整備

特定重要電子計算機とは、基幹インフラシステムの中核を担う重要なコンピューターやプログラムを指します。具体的にはファイアウォール・VPN装置・認証サーバー・重要なアプリケーションサーバーなどが想定されます。  基幹インフラ事業者はこれらの機器・ソフトウェアを導入する際に、製品名・製造者名・導入予定時期等を所管大臣に届け出る義務があります。

施行時点で既に導入済みのものについても、施行後一定の猶予期間内に届出が必要です。どの機器・システムが届出対象となるかは主務省令で定められますが、自社の基幹インフラシステムの構成を今から整理し、対象機器の洗い出しを進めておくとよいでしょう。

セキュリティインシデント報告体制の構築

基幹インフラ事業者は、不正アクセスやマルウェア感染などのセキュリティ侵害事象を知った際に、速やかに所管大臣と国家サイバー統括室（NCO）に報告する義務があります。注目すべき点は、確定的な侵害だけでなく、その原因となり得る「ヒヤリハット」事象も報告対象となる可能性があることです。

管理者IDやパスワードの窃取、マルウェアの痕跡、不審なアクセスログなども報告対象に含まれると考えられます。  この義務に対応するには、インシデントを迅速に検知し報告できる体制の整備が不可欠です。24時間365日の監視体制の構築、報告フローの明確化、担当者のアサインなど、詳細な手続きが主務省令で定められる前から準備を始めておくことが推奨されます。

政府との協議会・協定への対応準備

基幹インフラ事業者は、内閣総理大臣・関係行政機関・基幹インフラ事業者・ITベンダーで構成される官民共同の協議会への参加を要請される可能性があります。協議会ではサイバー攻撃に関する情報を共有し、構成員には守秘義務が課されます。

また、政府との間で外内通信情報の提供と分析結果の受領に関する協定締結の協議を求められた場合、正当な理由がない限り協議に応じる必要があります。なお、協定を締結しない場合でも不利益を与えない旨が基本方針等に明記される予定です。

協議会への参加や協定締結の可否については、情報セキュリティ部門だけでなく法務・経営層を含めた社内の意思決定体制を事前に整えておくことが重要です。

まとめ

サイバー対処能力強化法は、日本のサイバー安全保障体制を欧米主要国と同等水準に引き上げるための根拠法です。2026年中の施行を控え、基幹インフラ事業者には特定重要電子計算機の届出・インシデント報告・協議会対応など、新たな義務への対応が求められます。まずは届出対象機器の洗い出しと報告体制の整備から、早めに準備を進めることが重要です。

法律への対応を進める上でインシデント報告義務の前提となるのが、不正アクセスやマルウェア感染を迅速に検知できる体制の整備です。「Cloudbric WAF+」は、WAF・DDoS攻撃対策・ボット対策・API保護を統合したクラウド型セキュリティサービスで、AIによる自動検知により攻撃をリアルタイムで把握できます。報告体制の構築とあわせてご検討ください。