日本のサイバーセキュリティが「守り」から「攻め」へ。2025年12月23日、政府はサイバー対処能力強化法に基づく基本方針を閣議決定し、2026年の施行に向けて本格始動します。電力、通信、金融など私たちの生活を支える基幹インフラを守る新たな枠組みが、いよいよ動き出します。
内閣府は2025年12月23日、サイバー対処能力強化法(重要電子計算機に対する不正な行為による被害の防止に関する法律)に基づく基本方針を閣議決定した。同法は2022年12月16日に閣議決定された国家安全保障戦略に基づき、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させることを目的とする。
2024年6月7日から開催されたサイバー安全保障分野での対応能力の向上に向けた有識者会議が同年11月29日に提言を取りまとめ、2025年2月7日に法案が閣議決定された。国会審議を経て同年5月16日に成立し、5月23日に公布された。同法は官民連携の強化と通信情報の利用に係る制度を導入し、重要電子計算機に対する不正な行為による被害の防止を図る。
From: 
サイバー安全保障Cyber Security
【編集部解説】
今回閣議決定された基本方針は、日本のサイバーセキュリティ政策における歴史的な転換点を示すものです。2025年5月に成立したサイバー対処能力強化法の具体的な運用ルールが定まったことで、2026年中の施行に向けた準備が本格化します。
この法律が目指すのは「能動的サイバー防御」への移行です。従来の日本は、ファイアウォールやアンチウイルスソフトで攻撃を防ぐ「受動的防御」が中心でした。攻撃が来てから対応する「守りのセキュリティ」といえます。しかし、国家を背景とした高度なサイバー攻撃が増加する中、攻撃の兆候を検知し、未然に排除する「攻めのセキュリティ」が不可欠になっています。
具体的には、電力・通信・金融などの基幹インフラ事業者が重要システムを導入した際の届出義務や、サイバー攻撃を受けた場合の政府への報告義務が課されます。これにより政府は攻撃の全体像を把握し、他の事業者への警告や対策支援を迅速に行えるようになります。
また、法律の最大の特徴は、政府が一定の条件下で通信情報を取得・分析できる点です。攻撃サーバの検知精度を高め、被害の拡大を防ぐために必要な措置とされていますが、通信の秘密やプライバシー保護との両立が課題となります。このため、独立機関であるサイバー通信情報監理委員会による事前審査と継続的な検査が義務付けられています。
欧米主要国では既に類似の制度が導入されており、米国の外国情報監視法、英国の調査権限法、ドイツの連邦情報局法などがその例です。日本は国際的なサイバーセキュリティ協力の観点からも、同等の対処能力が求められていました。
今後、基幹インフラ事業者にとっては、セキュリティ投資の強化や政府との情報共有体制の構築が必要になります。一方で、政府から脅威情報やベストプラクティスが提供されることで、自社だけでは対応困難な高度な攻撃への防御力が向上するというメリットもあります。
施行まで約1年の準備期間で、省令や運用ガイドラインの整備が進められる予定です。官民が一体となったサイバーセキュリティ体制の構築は、デジタル社会の安全な発展に不可欠な基盤となるでしょう。
【用語解説】
能動的サイバー防御
攻撃を受けてから対応する従来の「受動的防御」に対し、攻撃の兆候を事前に検知し、未然に排除する防御手法である。攻撃者のサーバへのアクセスや無害化措置も含まれる。
重要電子計算機
国の行政機関、地方公共団体、基幹インフラ事業者などが使用する電子計算機のうち、サイバーセキュリティが害された場合に国家・国民の安全や経済活動に多大な影響を及ぼすおそれがあるものを指す。
特定重要電子計算機
基幹インフラ事業者が運用する重要電子計算機のうち、特に重要度が高いものとして政令で定められるものである。届出義務やインシデント報告義務の対象となる。
特別社会基盤事業者
電力、通信、金融、交通など、社会の基盤となるインフラを提供する事業者である。本法では「特別社会基盤事業者」という正式名称が使われ、経済安全保障推進法における特定社会基盤事業者を指す。
通信の秘密
憲法第21条および電気通信事業法で保護される権利で、通信の内容や相手方、日時などの情報が保護対象となる。本法では厳格な手続きのもとで例外的に取得が認められる。
サイバー通信情報監理委員会
通信情報の取得・利用を監督する独立機関である。事前審査と継続的な検査を行い、通信の秘密やプライバシーが適切に保護されているか監視する。
【参考リンク】
内閣府 サイバー安全保障に関する取組(外部)
サイバー対処能力強化法に関する基本方針、有識者会議の資料、法律の条文などが掲載されている政府の公式ページ。
内閣官房 サイバー安全保障に関する取組(外部)
能動的サイバー防御の実現に向けた政府の取組全般について、わかりやすく解説している内閣官房の公式ページ。
衆議院 重要電子計算機に対する不正な行為による被害の防止に関する法律(外部)
サイバー対処能力強化法の正式名称である同法律の条文全文が閲覧できる国会の公式ページ。
e-Gov法令検索(外部)
日本の法令を検索・閲覧できる政府公式サイトで、サイバー対処能力強化法の最新条文や関連法令が確認できる。
【参考動画】
内閣府が制作した、サイバー対処能力強化法の概要や目的、具体的な措置内容について解説した公式動画。
【参考記事】
日本のサイバー防御が新段階―関連法成立で「受動」から「能動」へ転換(外部)
能動的サイバー防御の概念と従来の受動的防御との違いについて詳しく解説。法律成立の背景と国際比較も含まれる。
サイバー対処能力強化法の成立-能動的サイバー防御(外部)
ニッセイ基礎研究所による分析記事で、法律の成立経緯、主要な制度内容、今後の課題について専門的な視点から解説。
【第5回】「能動的サイバー防御」関連法成立によって基幹インフラ事業者に求められること(外部)
PwCによる連載記事で、基幹インフラ事業者への具体的な影響と事業者が準備すべき事項について実務的な観点から解説。
能動的サイバー防御の導入 -サイバー対処能力強化法案及び同整備法案-(外部)
参議院調査室による立法調査資料で、法案の詳細な内容、論点、諸外国の制度との比較が包括的にまとめられている。
能動的サイバー防御法における基幹インフラ事業者への影響(外部)
野村総合研究所による分析レポートで、基幹インフラ事業者が直面する具体的な義務と対応策について詳述している。
【編集部後記】
私たちの日常を支える電力、通信、金融といったインフラが、目に見えないサイバー攻撃の脅威に晒されている現実を、どこまで実感されているでしょうか。
今回の基本方針決定は、日本のサイバーセキュリティが「守り」から「攻め」へと大きく舵を切る転換点です。一方で、セキュリティ強化と私たちのプライバシー保護のバランスをどう取るのか、この問いは今後も続いていくはずです。
みなさんが勤める企業や利用するサービスも、この法律の影響を受けるかもしれません。「安全」と「自由」の両立について、一緒に考えていけたらと思います。この話題について、みなさんはどう感じられますか。
