top of page

能動的サイバー防御時代の
民間アーキテクチャ設計

―― 令和7年「サイバー対処能力強化法」体制下における攻防分業・証跡設計・SLA運用 ――

攻めは国家、民間は設計で勝つ。
わたしたちは、反撃しない民間アーキテクチャを核に、高速検知・隔離・通報/不可逆ログ(WORM)+理由コード/官民連携SLA/KPIを“運用レベル”で実装します。
※本ページは一般情報であり、個別案件への法的助言ではありません。

27431900_MotionElements_cyber-security-concept-ai-generative-jpeg.jpg

【こんなお悩みはありませんか?(Problem)】

  • どこまでが民間の責務で、どこからが国家(警察・自衛隊)の所掌か、設計に落ちない

  • 外内/外外通信の要約・提出がログ過多・無構造で間に合わない

  • 一次報告T+30分/技術要旨T+180分など、SLA運用の実効性が弱い

  • 不可逆ログ(WORM)・理由コード・チェーン・オブ・カストディが曖昧

  • 委託/SOC/クラウド/ベンダ契約に報告SLA・提出要件が織り込まれていない

結論:民間は検知・封じ込め・通報・証跡化・事業継続で勝つ設計へ。

【法制度の前提(一次情報に基づく要点)】

  • サイバー対処能力強化法および同整備法:令和7年5月16日成立/5月23日公布

  • サイバー通信情報監理委員会(三条委員会)による事前審査・承認/継続検査/国会報告

  • 外内・外外通信の取得→自動選別:IPアドレス・指令情報等の機械的情報のみ選別記録

  • 選別後通信情報の保存期間:原則2年以内(延長可)、満了時は速やかに消去

  • 体制面:国家サイバー統括室の発足、年次計画(サイバーセキュリティ2025)整備

【当事務所の回答(Solution)】

1) 役割分担を前提にした**“反撃しない民間設計”**

  • 侵入・無害化等のオフェンスは公権力の所掌。民間は検知・隔離・通報・証跡・BCPに集中。

  • ディセプション(自組織内限定)/ゼロトラストは“許される能動手段”として設計。

  • **監査線(不可逆ログ+理由コード)**で、誰が/いつ/何を/なぜを不可逆に残す。

2) フォレンジック・レディネスを中核に

  • 機械的情報中心のログスキーマ(例:src_ip/dst_ip/tls_ja3/cmd_sig/ts_utc/integrity_hash)

  • 時刻同期(複数NTP+署名/逸脱検知)、WORM(不変ストレージ)+鍵職責分離(KMS/HSM)

  • 提出パッケージ(技術要旨+要約ログ)をテンプレ化し、T+180分の“提出準備”をKPIに

3) 官民連携を回すSLA/KPI

  • T+3分/T+30分/T+3時間のタイムボックスRunbook

  • 委託・SOC・クラウド契約に報告SLA/ログ提出要件/共同広報を条文化

  • KPI:MTTD/MTTR、報告SLA達成率、監査線完結率、RTO/RPO

【参照アーキテクチャ(ベンダ非依存)】

データ面

  • テレメトリ標準化:ネット(JA3/TLS指紋、DNS、HTTPメタ、フロー)、端末(プロセス/ハンドル/ETW)

  • 不可逆保全:WORM(オブジェクトロック)/ハッシュ鎖/署名タイムスタンプ

  • 時刻:複数NTP+署名、逸脱監視

制御面

  • SOARで自動封じ込め→隔離VLAN/SG→IOC配布→通知

  • STIX/TAXIIでISAC/官側IOCを自動流入

境界面

  • ゼロトラスト(ID中心・デバイス状態・ネット位置非依存・継続認証)

  • ディセプション(ハニートークン/ハニーネット)※自組織内限定

Azure実装例(※同等概念はAWS/GCPに置換可)

  • 収集:Microsoft Sentinel、Defender XDR/for Endpoint/for IoT

  • 保全:StorageのImmutable Policy/リーガルホールド、Key Vault、Log Analytics長期保持

  • 自動化:Logic Apps/Functions、Entra ID(条件付きアクセス、PIM)

  • 共有:MDTI+TAXII、Purviewでデータガバナンス

【“出せる”通信情報設計(外内/外外)】

ログ・スキーマ(抜粋)

net.session_id, src_ip, src_port, dst_ip, dst_port, proto, tls_ja3, sni, http_verb, url_host, url_path, cmd_sig, ts_utc, sensor_id, integrity_hash edr.proc_exec_id, parent_pid, image_sha256, cmdline_sig, user_sid, ts_utc, integrity_hash dns.qname, qtype, rrdata, resolver_ip, ts_utc, integrity_hash

Reason Code(標準化例)

ACD-EXTERNAL-OUTER # 外外疑い(国外↔国外・国内事業者媒介) ACD-EXTERNAL-INBOUND # 外内疑い(国外→国内) CNI-INCIDENT # 重要インフラ事案 VULN-EXPLOIT # 既知脆弱性悪用

ポイント:機械的情報の要約を前提に、保存は原則2年以内。要約ファーストのスキーマで“提出可能性”を担保。

【Runbook & SLA(“3分・30分・3時間”)】

  • T+3分:重大度判定(High/Severe)→ 端末/セグメント隔離 → CSIRT一次通報

  • T+30分:官(所管庁/監理委窓口/警察)・ISAC・委託先へ自動チケット(Reason Code付き)

  • T+180分:機械的情報要約+時系列を提出可能状態に

KPI

  • MTTD/MTTR、報告SLA(T+30/T+180)達成率、監査線完結率(検知→隔離→通報→提出→広報)

  • 復旧SLA:業務ごとのRTO/RPO

【契約・調達(条文化テンプレの骨子)】

  • 報告SLA:一次報告T+30分、技術要旨T+180分、エスカレーション・窓口

  • ログ提出:範囲(機械的情報中心)、フォーマット、WORM・チェーン・オブ・カストディ要件

  • 共同広報:文案レビュー、公表判断、再発防止計画

  • 当局対応:協議・提出支援、監理委の継続検査対応

  • 脆弱性SLA:CVSS閾値、緊急パッチ、暫定封じ込み

  • 重要インフラ:届出・報告・協議会参加を入札要件に格上げを推奨

【監督・独立審査への“提出物”標準】

  • 技術要旨:インシデント概要/被害想定/機械的情報要約/封じ込め状況

  • 網羅ログ:WORM区画URI、ハッシュ鎖、保全プロセス(チェーン・オブ・カストディ)

  • 運用記録:意思決定ログ(誰が/いつ/何を/なぜ)— 理由コード紐付け

  • 広報草稿:顧客・株主・所管庁向けの一貫メッセージ

【演習(TTX/実動)の設計】

  • シナリオ:① 外外C2経由のラテラル(OT/IT) ② 住民向けサービス停止+デマ拡散 ③ 供給網(委託)侵入

  • 評価:T+3/T+30/T+180の達成、提出品質、誤陽性対応、広報の一貫性

  • AAR:ギャップ→Runbook/SOP改訂→契約SLA差し替えまで連鎖

【KPIダッシュボード(定量指標)】

  • 報告SLA達成率(T+30/T+180)

  • 監査線完結率(不可逆ログ+理由コード)

  • MTTD/MTTR、RTO/RPO達成

  • 要約ログ提出の所要時間中央値

  • 演習合格率(TTX・実動)/再発防止施策の着地率

【導入プラン】

0–90日(スプリント1)

  • 3分・30分・3時間 Runbook作成、SOAR最小自動化

  • 時刻同期+WORM導入/理由コード体系定義

  • **提出テンプレ(技術要旨+要約ログ)**整備

90–180日(スプリント2)

  • ISAC/TAXII接続、IoC自動適用

  • 委託・共同運用契約のSLA/提出条項改訂

  • TTX→実動演習、AAR→SOP改訂

180–365日(スプリント3)

  • 業務別RTO/RPO検証、不可逆ログの外部監査試行

  • 官民協議会への定例アウトプット(提出ダッシュボード+提言)

【当事務所の支援モジュール】

  • ACD準拠ギャップ診断(2週間):網構成棚卸し/境界マッピング/Runbook雛形/提出パッケージ

  • ログ/証跡アーキ設計:機械的情報スキーマ/NTP+WORM+署名/ダッシュボード(提出可視化)

  • 契約・調達の再設計(英日):報告SLA/ログ提出/共同広報/当局連携/脆弱性SLA

  • 監理委・当局対応パック:事前審査・継続検査の提出書式/説明台本(影響評価含む)

  • TTX/実動演習:外外C2/OT-ITラテラル/デマ拡散でSLA達成と提出品質を計測

【よくある質問(FAQ)】

Q1. 民間が“反撃”してよいケースはありますか?
A. いいえ。侵入・無害化等は公権力の所掌です。民間は検知・隔離・通報・証跡・BCPに集中する設計が前提です。

Q2. 提出ログはどの程度、個人識別情報を含みますか?
A. 前提は機械的情報の要約です。保存は原則2年以内の上限設定とし、安全管理措置・守秘義務が課されます。

Q3. 施行スケジュールが不明です。いつまでに何を?
A. 多くは公布から1年6か月以内に施行、通信情報の利用は2年6か月以内などの例外があります。準備は契約・Runbook・WORMから着手を推奨します。

Q4. 海外サーバに対する“無害化”の国際法上の評価は?
A. 国家の措置であり、対抗措置・緊急避難等の法理が議論されています。民間は越境しない設計が基本です。

【お問い合わせ(CTA)】

“提出できる運用”を、90日で。

  • 現状評価(30–45分/オンライン)

  • 翌営業日までに骨子レポートと概算スケジュールをご提示

問い合わせフォーム(推奨)
会社名/部門名/お名前・役職/メール・電話
網構成の概況(オンプレ/クラウド/OT-IT)
現状の課題(自由記述)
期待するアウトカム(提出SLA/監査線/RTO/RPO など)

【参照リンク集】

政府・一次情報

  • サイバー安全保障に関する取組(能動的サイバー防御の実現に向けた検討など)
    https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/index.html

  • リーフレット:サイバー対処能力強化法のポイント
    https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/leaflet.html

  • 首相官邸:国家サイバー統括室 発足式(総理の一日)
    https://www.kantei.go.jp/jp/103/actions/202507/01hossokushiki.html

  • 国家サイバー統括室(旧NISC)トップ
    https://www.nisc.go.jp/

  • プレス:国家サイバー統括室の設置について(PDF)
    https://www.nisc.go.jp/pdf/press/NCO0701.pdf

  • 主要公表資料(統一基準等)
    https://www.nisc.go.jp/policy/materials

  • 年次計画「サイバーセキュリティ2025」(PDF)
    https://www.nisc.go.jp/pdf/policy/kihon-s/250627cs2025.pdf

国会・立法調査(参議院 調査室)

  • 能動的サイバー防御2法案の国会論議(1)(PDF)
    https://www.sangiin.go.jp/japanese/annai/chousa/rippou_chousa/backnumber/2025pdf/20250714041.pdf

  • 能動的サイバー防御2法案の国会論議(2)(PDF)
    https://www.sangiin.go.jp/japanese/annai/chousa/rippou_chousa/backnumber/2025pdf/20250725003.pdf

  • 能動的サイバー防御の導入—法案概要(PDF)
    https://www.sangiin.go.jp/japanese/annai/chousa/rippou_chousa/backnumber/2025pdf/20250414003.pdf

研究機関・国際資料

  • 防衛研究所(NIDS)コメンタリー第394号:能動的サイバー防御と国際法上の評価
    https://www.nids.mod.go.jp/publication/commentary/commentary394.html

  • CCDCOE:The Tallinn Manual 2.0(概要ページ)
    https://ccdcoe.org/research/tallinn-manual/

  • Tallinn Manual 2.0(PDF/Cambridge版の概要に準拠)
    https://www.onlinelibrary.iihl.org/wp-content/uploads/2021/05/2017-Tallinn-Manual-2.0.pdf

  • ニッセイ基礎研究所:サイバー対処能力強化法の成立—能動的サイバー防御(政策解説)
    https://www.nli-research.co.jp/report/detail/id%3D82440?site=nli

bottom of page