日本における能動的サイバー防御法の概要と課題 – 技術者視点からの批判的検討と政策提言

山崎行政書士事務所
7月26日
読了時間: 29分

はじめに

近年、日本政府や企業を標的としたサイバー攻撃が高度化・深刻化し、国家安全保障上の懸念となっています。特に国家主体が背景にあると見られる重要インフラへの潜伏型攻撃や、情報窃取・ランサムウェアによる業務停止事例（米国のパイプライン事件や日本の港湾・医療機関への攻撃など）が相次ぎました。こうした脅威を受けて日本政府は2022年末の国家安全保障戦略で「能動的サイバー防御（Active Cyber Defense, ACD）」の導入を明記し、「重大なサイバー攻撃のおそれがある場合にこれを未然に排除し、被害拡大を防止する」方針を示しました。

この戦略では具体的に、(1) 官民連携の強化、(2) 通信情報の活用、(3) 攻撃者サーバへの侵入・無害化、(4) 司令塔組織の整備、といった施策が列挙されています。その後、2024年11月に有識者会議の提言が取りまとめられ、政府は法整備を進めました。そして2025年5月、関連2法（「重要電子計算機に対する不正行為による被害の防止に関する法律」およびその施行に伴う整備法。以下総称して能動的サイバー防御法）が成立しました。本稿では同法の概要と民間企業への影響を整理し、技術者の視点からその課題を批判的に検討するとともに、政府への政策提言を行います。

能動的サイバー防御法の背景と目的

日本の能動的サイバー防御法は、日本のサイバー安全保障体制を欧米主要国並みに強化することを目的として策定された新たな法制度です。背景には、サイバー空間で国家の関与が疑われる攻撃が日常化し、安全保障上の「新たな領域」での防御力強化が喫緊の課題となったことがあります。従来、日本のサイバーセキュリティ施策は官民の情報共有や重要インフラ防護策が中心で、政府自ら攻撃経路に働きかける積極的防御（いわゆるハックバック）は法的に位置付けられていませんでした。しかし2022年改定の国家安全保障戦略がACD導入を打ち出し、続いて2024年の有識者会議報告書で必要な措置が提言されました（そこでは「平時からサイバー攻撃を未然に防ぐ積極的対処能力」の構築が謳われています）。一方で、サイバー空間で政府が積極介入することについて、憲法が保障する通信の秘密との関係や**「攻撃は最大の防御」**という発想への懸念も以前から指摘されてきました。実際、政府提案の当初から国会審議や法曹界等で「ネット監視やサイバー先制攻撃を合法化するものではないか」という批判が提示され、立法にあたっては慎重な議論が行われています。本節では能動的サイバー防御法の構成と柱立てを概観し、その目的と狙いを整理します。

法制度の構成

能動的サイバー防御関連法は、新規立法である「重要電子計算機に対する不正行為による被害の防止に関する法律」（以下、新法）と、それに伴う関連法の改正をまとめた「整備法」の2本から成ります。新法は全12章・86条からなり、主に(1) 官民連携の枠組み強化、(2) 通信関連情報の利用に関する措置、(3) 政府から独立した監督機関「サイバー通信情報監理委員会」の設置を規定しています。整備法は他の法令の改正を束ねたもので、新法とあわせて(4) 攻撃者へのアクセス・無害化措置（いわゆるハックバック）および(5) 組織体制の整備に関する規定を含みます。これら能動的サイバー防御法制は、政府と民間の協力枠組みから実力行使に至るまでを包含する包括的な法律群となっています。

立法の目的

新法第1条では、我が国の行政機関や重要インフラ等のサイバーセキュリティ確保と安全保障上の脅威排除を目的に掲げ、**「サイバー攻撃の未然防止と被害拡大防止のため必要な措置」**を講じると定めています。具体的には、重要インフラ事業者などがサイバー攻撃を受けた場合の官民間情報共有・対処調整の強化、国内通信事業者が保有する通信情報の活用による攻撃インフラ検知、重大な攻撃発生時に攻撃元サーバ等への侵入やマルウェア削除など無力化措置を可能にする権限付与、といった施策を実現することにあります。さらに、これらの施策を統合的に推進する司令塔機能を政府内に新設し、サイバー安全保障政策を一元化する体制整備も目的の一つです。

以上の背景・目的から明らかなように、本法は受動的防御から積極的対処へと政策を転換し、日本全体のサイバー・レジリエンスを高めることを狙っています。他方で、通信の秘密やプライバシーへの配慮、誤用・濫用防止策が不可欠であり、立案段階からその点が強調されました（後述）。次章では能動的サイバー防御法の具体的な内容を平易に説明した上で、民間企業に求められる対応について解説します。

能動的サイバー防御法の概要

能動的サイバー防御法は大きく4つの柱、すなわち ①官民連携の強化（情報共有）、②通信関連情報の取得・分析、③攻撃基盤へのアクセス・無害化措置（ハックバック）、④司令塔組織の整備 から構成されています。以下、それぞれの柱について概要を説明します。

官民連携の強化（情報共有）

重要インフラ企業等に対するサイバーインシデント報告義務と、官民で機密情報を共有する新たな協議会の創設からなる施策です。具体的には、政府は経済安全保障推進法に基づく特定社会基盤事業者（いわゆる基幹インフラ事業者）を対象に指定し、社会機能維持に関わる重要な情報システム（「特定重要電子計算機」）を導入した際にその製品情報（製品名・製造者など）を所管大臣および内閣総理大臣へ届け出ること、また当該システムに対する不正アクセス等のサイバー侵害事象やその兆候を検知した場合に速やかに報告することを義務づけます（違反時には罰則規定あり）。併せて、基幹インフラ事業者やそのシステム提供・維持に関わるIT事業者などを構成員とする官民合同の**「情報共有・対策協議会」**を新設し、政府が把握した機密性の高い脅威情報を迅速に共有するとともに、協議会メンバーからも必要な情報提供や対策協議への参加を求める枠組みを整備します。協議会で知り得た秘密情報の漏えいや不正利用には罰則が科されます。これら官民連携策によって、基幹インフラを狙う攻撃の兆候を早期に政府へ集約し、被害拡大を防止する狙いがあります。

通信関連情報の取得・分析

攻撃の発信元や経路を特定するため、国内を経由する通信データを政府が取得・分析する権限を定めた施策です。手段は二段構えで、まず対象企業の同意に基づく情報提供、その上で同意なく取得する場合の要件を規定しています。具体的には、(イ) 基幹インフラ事業者との協定に基づく通信情報取得: 重要インフラ企業あての通信について、当該企業の同意・協力の下で政府が内容を収集・分析し、得られた知見を企業側にフィードバックできる制度です。協定への参加自体は任意ですが、政府・企業のいずれからも協議の要請ができ、正当な理由なく応じないことはできない（協議義務）とされています。次に、(ロ) 同意によらない通信情報の取得: 通信の秘密に抵触しない範囲で、外国発・外国宛て通信のうち日本国内を経由するもの（外外通信）や、外国と国内の間の通信（外内通信・内外通信）について、サイバー攻撃に関与すると疑われる通信情報を政府が直接取得し分析できる仕組みです（純粋な国内相互間の通信〔内内通信〕は除外）。もっとも、同意なき取得が可能とはいえ濫用防止のため複数の安全策が組み込まれています。

第一に、(ハ) 取得した通信データは機械的・自動的にフィルタリングされ、サイバー攻撃に関係する情報だけを抽出することとしています。人手による内容閲覧を極力排除し、プライバシーに踏み込まないよう配慮された措置です。第二に、(ニ) 情報取得にあたっては政府から独立した3条委員会たるサイバー通信情報監理委員会の事前承認を必須とし、取得後も継続的な検査・監督を行い、国会へ定期報告させる仕組みです。この独立機関によるチェックにより恣意的な通信傍受を防ぎ、憲法第21条「通信の秘密」を侵害しないことを担保しています。以上の(イ)～(ニ)が「通信情報の利用」の柱であり、政府はこれらの枠組みを通じてサイバー攻撃の予兆となる通信を把握・分析し、対策に活かすことになります。

攻撃基盤へのアクセス・無害化措置（ハックバック）

攻撃を未然に断つため、政府が攻撃元のサーバ等に侵入しマルウェアの除去など無力化措置を行う権限を定めた施策です。これは想定シナリオに応じて警察権限と自衛隊権限の二本立てになっています。まず、(イ) 警察による無害化措置: 警察庁長官は高度な技能を持つ警察官を「サイバー危害防止措置執行官」に指名し、サイバー攻撃が行われている疑いがあり放置すれば重大被害が出る緊急時に、攻撃に用いられていると疑われるコンピュータに電磁的方式でアクセスして不正プログラムの確認・消去を実施できるとされています。実行には前述の通信情報監理委員会の承認が必要で、緊急時以外は事前承認、緊急の場合でも事後に速やかな通知を行う義務があります。また対象サーバが国外にある場合は事前に外務大臣と協議することとも定められ、外交上の配慮も求められます。次に、(ロ) 自衛隊による無害化措置: 政府機関や基幹インフラに対するサイバー攻撃で、外国主体による高度な組織的攻撃と認められ内閣総理大臣が「特定事象」に指定した場合に、自衛隊が対処に当たる権限です。国家公安委員会からの要請または同意を得た上で独立委員会の承認を取り、内閣総理大臣が自衛隊に「通信防護措置」を命令して警察と協同で攻撃元コンピュータへのアクセス・除去行為を実施できるとされています。また、自衛隊や在日米軍が使用する情報システムへの攻撃に対しても同様の措置が可能とされています。以上、警察・自衛隊による緊急防衛的なサイバー反撃を法的に可能とした点は本法の画期的な部分ですが、その適用要件は非常に厳格に限定されています。

司令塔組織の整備

最後の柱は、政府内のサイバーセキュリティ統括体制を強化する組織面の措置です。具体的には、これまで内閣サイバーセキュリティセンター（NISC）が担ってきた機能を発展的に再編し、「サイバーセキュリティ戦略本部」を本部長＝内閣総理大臣、全閣僚参加の強力な組織へ改組します。同本部には重要インフラ事業者等のセキュリティ確保に関する施策基準の策定や、各行政機関のセキュリティ対策状況の評価といった新たな所掌事務も付与されます。また、内閣官房に内閣サイバー官（事務次官級）を新設し、関係省庁を横断してサイバー政策を調整・指揮する体制を築きます。さらに官民連携や通信情報活用を管轄する担当大臣ポスト（内閣府特命担当大臣）も新設し、縦割りを排した統合的な指揮命令系統を構築する方針です。

以上が能動的サイバー防御法の全体像です。同法に盛り込まれた施策の多くは公布日（2025年5月23日）から1年6ヶ月以内に施行予定であり、2026年末までに順次発効します。ただし、通信情報の非同意取得など一部センシティブな措置については2年6ヶ月以内（2028年頃）まで猶予が設けられています。これは独立委員会の設置や技術的準備に時間を要するためと考えられます。また基幹インフラ事業者への届出・報告義務についても、施行後一定の準備期間が認められる見通しです。では次章で、こうした制度が民間企業（特に重要インフラ事業者、通信事業者、ITベンダー）に具体的にどのような影響を与え、どのような対応が求められるかを見ていきます。

民間企業に求められる対応と影響

能動的サイバー防御法によって直接的に新たな義務や協力要請を受けるのは、主に基幹インフラ事業者（特定社会基盤事業者）およびそのシステム提供者、電気通信事業者、ITベンダーです。その他の一般企業には直接の報告義務等こそ課されませんが、今後政府のセキュリティ支援策強化や情報共有の活性化により間接的な影響を受ける可能性があります。以下、主な事業者区分ごとに求められる対応と影響を整理します。

基幹インフラ事業者

電力・通信・金融・交通・医療など15分野の重要サービス提供者で、経済安全保障推進法に基づき政府が指定する「特定社会基盤事業者」が該当します。これら事業者は既にサプライチェーンリスクに関する設備導入前の審査や国外依存防止措置等が義務付けられていますが、能動的サイバー防御法はそれに加えて新たな届出・報告義務を課しました。すなわち、基幹インフラ事業者が社会基盤を支える重要な情報システム（例：制御システムやクラウドサービス等で政令で指定されるもの）を導入した際には、その製品名・製造者等を所管官庁へ届け出る必要があります。また当該システムのサイバーセキュリティが侵害される事象（不正アクセスやマルウェア感染など）や、その兆候となり得る事象を知ったときには、速やかに所管大臣および内閣総理大臣（＝新設の司令塔組織経由）へ報告しなければなりません。報告事項や対象となる「兆候事象」の詳細は今後定められる省令に委ねられますが、少なくとも実被害が出たインシデントだけでなく「ヒヤリハット」段階の事象も含まれる可能性があります。報告を怠った場合には政府からの是正命令や罰金刑（命令に従わない場合は200万円以下）が科されるため、基幹インフラ事業者は社内体制を整備し、確実な検知・通報フローを構築する必要があります。もっとも、新法上の届出・報告義務と既存の経済安保法上の届出制度が二重に発生しないよう、報告様式の統一や手続の簡素化が求められており、国会の付帯決議でも「他法令との重複を避け、報告の一元化や事業者負担の軽減を図るべき」と明記されています。政府も産業界の意見を踏まえ、過度な事務負担とならない運用に努めると表明しており、具体的な省令策定において調整が図られる見通しです。

基幹インフラ事業者はさらに、政府との協定による通信情報の提供について協議に応じることが想定されます。上述のように新法第11条で、政府は基幹インフラ事業者と協定を結び、当該事業者あての国外発通信（国外→国内通信）のデータ提供を受けて分析・フィードバックする制度が設けられました。協定締結自体は任意ですが、政府から協議要請があれば「正当な理由なくこれを拒めない」とされているため、指定事業者の多くは今後政府との協議の場に呼ばれ、提供する通信ログの範囲や頻度、分析結果の取り扱いなど協定内容について話し合うことになるでしょう。協定を結んだ場合、事業者側は自社ネットワークを流れるトラフィックの中から政府の要請条件に合致するデータを抽出・提供する体制を整える必要があります。特に通信内容に個人情報等が含まれる場合のプライバシー確保策や、社内規程上の通信秘密保護との整合性も検討課題です。政府側から分析結果のフィードバックがあるとはいえ、提供データの選別・送付には手間やコストが伴うため、協定参加に際してはその必要性と負担とのバランスを見極めることが重要です。

加えて、官民協議会への参加協力も求められます。新法第45条に基づき内閣総理大臣（新組織）や関係省庁、基幹インフラ事業者、ITベンダー等からなる**「情報共有・対策に関する協議会」**が設置されます。構成員となった企業は政府保有の機密脅威情報の提供を受ける代わりに、自社の持つ攻撃手口に関する知見や資料の提供、意見交換への参加を求められる場合があります。新たな枠組みとはいえ、実態としては既存の各種ISAC（情報共有組織）やサイバーセキュリティ協議会を統合・強化した場になると見られています。基幹インフラ事業者としては、日頃から自社のインシデント対応情報を整理・蓄積し、協議会で有益な情報交換ができるよう準備しておくことが望ましいでしょう。また協議会で知り得た他社の機微情報は厳格な守秘義務下に置かれるため（違反時には刑事罰）、社内でも適切な情報管理体制を確立する必要があります。

電気通信事業者

通信キャリアやISP等の電気通信事業者に対しては、能動的サイバー防御法により特定通信データの提供協力義務が間接的に生じる可能性があります。まず「外外通信」のケースでは、政府が独立委員会の承認を得て国内の特定ネットワーク装置上を流れる外国間通信のコピーを政府の受信装置へ取得する措置が想定されています。この際、実際のデータ取得は設備を保有する通信事業者の技術的協力なしには不可能です。したがって政府から要請があれば、対象となる通信ノード（例：国際海底ケーブルの陸揚局やISPバックボーン）の事業者は、指定された通信パターンに合致するトラフィックをミラーリングやフィルタ設定によって政府受信装置へ転送する作業に協力することになるでしょう。同様に「外内通信・内外通信」の非同意取得の場合も、外国由来の攻撃通信を検出するため国際通信ゲートウェイ等でのパケット監視・提供が求められ得ます。法律上は事業者の個別同意を経ずに政府が直接取得できると規定されていますが、実務上は通信事業者のネットワーク内部で実装する必要があるため、設備管理者の協働が前提となります。

もっとも、このような協力行為は通信事業者にとって通信傍受（盗聴）に等しいため躊躇される可能性があります。しかし法律上は独立委員会の許可を経た「通信の秘密」の例外措置として位置付けられており、適法な行為となります。通信事業各社は本法の趣旨を理解した上で、要請に応じうる技術的手段（トラフィック複製装置やフィルタリングソフトの導入など）を事前に検討しておく必要があります。また、提供される情報は基本的にIPアドレスや通信日時、接続先サーバ識別子など**「機械的情報」**と呼ばれるもので、通信の本質的内容ではないと説明されています。例えば暗号化通信の場合、傍受できるのは送受信アドレスやパケットサイズ・タイミングといったメタデータに限られ、メッセージ内容そのものは復号しない限り判読できません。このように技術的制約もある中で、政府と通信事業者が協力して効率的にマルウェア通信の検知を行うことが期待されています。

ITベンダー・システム提供事業者

ソフトウェア開発会社や機器ベンダー、システムインテグレータ等のIT事業者にも本法は一定の影響を及ぼします。まず、基幹インフラ事業者向けシステムに関連する脆弱性情報への対応です。政府の新組織（統合司令塔）は各基幹インフラ事業者から集まった特定電子計算機の製品情報、インシデント報告、通信傍受による技術情報、協議会経由の情報、海外から提供されたサイバー脅威インテリジェンス等を統合分析し、必要に応じて関係者へ共有することになっています。この分析情報のうち広く周知すべきものは重要インフラ事業者やそのシステム供給者に対して公表・通知されます。機微な内容を含むものは協議会構成員（守秘義務契約を結んだIT企業等）に限定提供され、さらに極秘情報は政府機関内のみに留める、といった提供レベルの区分も設けられます。仮に提供情報に「特定重要電子計算機（重要インフラ向けシステム）やその組込ソフトの脆弱性」に関するものが含まれる場合、所管大臣はその製品の供給元企業に対し被害防止措置（例：脆弱性パッチ適用や設定変更の呼びかけ）を講じるよう要請できます。さらに必要に応じて報告や資料の提出を求める権限も認められ、要請を受けたベンダーは可能な限り協力する努力義務を負います。これは近年問題化しているソフトウェアサプライチェーンの脆弱性（Log4jのような汎用ソフトの深刻な脆弱性悪用事例等）への対策として、ベンダー側にも一定の責任と対応を促す仕組みと位置付けられます。ITベンダー各社は自社製品が重要インフラに組み込まれている場合、脆弱性情報の収集・公表プロセス（いわゆる脆弱性届出制度やJVNでの公開など）に則りつつ、政府からの要請にも速やかに対応できる体制整備が求められます。

またインシデント報告支援の面でもIT企業の役割が増す可能性があります。基幹インフラ事業者が自社システムのセキュリティ事象を適切に把握・報告するには、システム運用を委託されている企業や製品提供元からの情報提供が不可欠です。例えばシステム監視を担うSIerは、異常兆候を検知したら直ちに利用企業に通知し、必要に応じて政府報告の原案作成を支援するといった対応が期待されます。こうしたサプライチェーン全体での協力体制についても、今後ガイドライン等で示される可能性があり、IT業界として注視すべきでしょう。

その他の一般企業

以上、能動的サイバー防御法により直接の義務・要請が及ぶ企業群を述べましたが、その他の一般企業については直接規制はありません。ただし今後、新設される司令塔組織による企業向けセキュリティ支援策の強化や情報提供の充実により、間接的な影響を受ける可能性があります。例えば中小企業に対する脅威情報の周知や人材育成支援など、社会全体のサイバーレジリエンス底上げにつながる施策展開が期待されます。経済界も本法を概ね支持しつつ、中小企業も含めた丁寧な周知・支援を政府に求めています。法施行に向けて、すべての事業者が自社のセキュリティ対策を見直し強化する契機とすることが望ましいでしょう。

能動的サイバー防御法への主な懸念と批判

能動的サイバー防御法は日本のサイバー安全保障対応を画期的に前進させる一方で、その内容について専門家や有識者からいくつかの懸念や批判も提起されています。ここでは技術者・法律家の視点から特に重要な論点を整理します。

通信の秘密・プライバシーへの影響

最も大きな懸念は、通信傍受や情報収集の拡大が憲法第21条の保障する「通信の秘密」や国民のプライバシー権を侵害し得るのではないかという点です。日本ではこれまで通信傍受（盗聴）は通信傍受法により刑事捜査上限定的に許容されてきましたが、それも重大犯罪捜査に必要最小限かつ裁判所の令状を要件とするなど厳格に制限されています。一方、本法による通信情報の収集は犯罪捜査ではなく予防目的であり、包括的かつ継続的なネット監視につながる恐れがあるため、一部から「大量監視の合法化」との批判も出ています。とりわけ外国↔外国間通信（外外通信）の取得は、日本に居住しない外国人同士の通信であっても日本の設備を経由していれば対象となり得るため、「外国人には通信の秘密の保障が及ばないのか」という国際人権上の問題も指摘されています。実際、ドイツでは自国情報機関による対外通信傍受（いわゆる戦略的監視）が連邦憲法裁判所で違憲と判断され、外国人の通信であっても基本権による保護が及ぶとの判決が出されています。同裁判所は2020年5月および2024年10月の判決で、外国通信の包括的監視を正当化するには高度な法的抑制と独立監督が不可欠とし、現行制度の見直しを命じました。日本の新法も独立委員会承認や機械的選別など安全策を講じていますが、それでもプライバシー侵害の可能性はゼロではないとの指摘があります。

政府は法律上、「通信の秘密その他憲法上の権利自由を不当に制限してはならない（必要最小限の行使にとどめる）」との条文を設け、野党の懸念に対して「本法の措置はいずれも通信の秘密を侵すことのない安全弁を備えている」と答弁しました。しかし監視対象となり得る市民からすれば、たとえ自分の通信内容が直接見られていないとしても「常に政府がネット通信を見張っている」という印象を抱けば表現行動が萎縮する可能性があります。このような**「監視社会化」への懸念**は本法施行後も引き続き検証が必要な論点です。プライバシー保護の観点からは、独立監理委員会の厳正な運用と国会への透明な報告、さらに施行後3年をめどとした制度の見直し条項（附則）によるチェックが重要となります。技術面でも、フィルタリング精度を高め無関係な通信の誤取得を極小化する工夫や、取得データの速やかな廃棄・匿名化などプライバシー保護技術の導入が期待されます。

サイバー反撃（ハックバック）のリスク

次に議論を呼んでいるのが、政府によるハックバック（サイバー攻撃への反撃）の是非です。能動的サイバー防御法は警察官や自衛隊による攻撃元サーバへの侵入・無力化を初めて法的に可能にしました。支持者は「重大な被害を未然に食い止めるには必要な手段」と評価しますが、批判的な見解としては「これは先制的なサイバー攻撃であり、防御の名を借りた攻撃ではないか」という指摘があります。現行の自衛隊法では武力攻撃事態に対する防衛出動等の規定はあっても、平時に相手国のサーバを破壊・消去するといった行為は想定されていません。そのため本措置が憲法の許す自衛の範囲を超える可能性や、国際法上も相手国主権侵害に当たる恐れが議論されています。専門家の中には「政府はサイバー空間の国際法準拠枠であるタリン・マニュアル2.0（国際法の専門家グループによるサイバー行動に関する指針）を十分検討したのか？」と疑問を呈する声もあります。

実際のところ、米国では民間企業による「ハックバック」は1986年制定のコンピュータ不正行為防止法（CFAA）に抵触するため禁止されており、被害企業が独自に攻撃者に報復することは認められていません。被害企業による限定的反撃を認める「Active Cyber Defense Certainty Act（ACDC法案）」が繰り返し議会に提案されていますが、誤爆やエスカレーションへの懸念から成立には至っていません。その代わり、米国政府はFBIなど法執行機関や国防総省のサイバー軍（サイバーコマンド）による対処で脅威に挑み、2018年以降は「前方防衛（Defend Forward）」戦略の下、国外の脅威源に先手を打って侵入・無力化する作戦も展開しています。ただしこれらは国内法で明示的に規定されたものではなく、軍や情報機関の作戦として秘密裏に行われるものです。欧州においても、民間のハックバックを明確に認める国はなく、EU全体ではむしろサイバー防御強化（例えばEUのNIS2指令による重要インフラのセキュリティ義務化・インシデント報告制度整備など）と情報機関や警察によるサイバー捜査・対処を重視する傾向にあります。このように国際的に見ても、サイバー反撃の法制化は慎重な扱いが主流であり、日本のように平時から国家機関に一定の反撃権限を与えるアプローチは先進的かつ異例と言えます。ゆえに一層明確なルール作りと抑制的運用が求められるのです。

日本政府は法案審議において「無害化措置はあくまで防御目的であり、海外サーバへの実力行使時も事前に相手国と調整し乱用しない」と説明しました。独立委員会の承認や外務大臣との協議を要件に入れたのも外交・人権上の配慮とされています。しかし緊急時には事後承認も認められているため、拙速な判断で他国システムに手を出せば国際問題化するリスクがあります。技術的な観点でも、攻撃者の正体錯誤（アトリビューションの困難さ）やマルウェア除去時の副作用（誤って第三者システムを停止させてしまう等）のリスクが指摘されます。もし政府の無害化行為によって重要インフラとは無関係のサーバが破壊されたり、証拠保全中のデータが消去されるようなことがあれば深刻な問題となります。こうした懸念に対し、法律自体は一応慎重に枠付けしていますが、実際に運用する際の**「ルール作り」**が決定的に重要です。現状では警察・自衛隊の役割分担や具体的プロトコルは省令や内部規則に委ねられており、詳細は不透明な部分も残ります。今後の運用設計においては透明性の確保と、有事シナリオを想定したシミュレーション・訓練を継続的に実施することで、誤作動や越権行為を防ぐ仕組みを整える必要があります。

民間企業への負担増大と施策の実効性

第三に指摘されているのは、民間企業側の負担増と各施策の実効性に関する課題です。基幹インフラ事業者への新たな報告義務については「報告ばかり増えて現場対応が大変になるのでは」という懸念があります。サイバー攻撃対応で最も重要なのは被害の拡大防止とシステム復旧ですが、その渦中に逐一政府へ報告する余裕がない場合もありえます。また既存制度との重複で現場が混乱する恐れもあります。ただし、この点に関しては前述のように報告様式の統一・簡素化や他法令との調整が図られる見込みであり、経済界からもインシデント報告の一元化・簡略化を求める建設的な意見が出されています。政府は企業の負担軽減に配慮しつつ迅速な情報共有を両立させるよう、報告基準の明確化やオンライン報告システムの整備など工夫を凝らすべきでしょう。

通信事業者にとっても、新たな協力要請は技術的・法的コストを伴います。全トラフィックを監視・フィルタするには高度な装置導入が必要で、誤検知・過検知を防ぐチューニングも難しい課題です。また暗号化通信が当たり前の現在、外形情報だけで攻撃を検知するには限界があります。政府はAI技術等を活用して効率化するとしていますが、最終的にはエンドポイント側の対策強化（ゼロトラスト的な防御など）も不可欠です。能動的サイバー防御は万能ではなく、あくまで基本的なセキュリティ対策が施された上で最後の手段として機能するものであることは強調しておく必要があります。

ITベンダーにとっては、脆弱性対応や報告支援への協力義務化によって一定の負荷が増すでしょう。しかしこれはソフトウェア供給網におけるセキュリティ確保の流れに沿ったもので、欧米でもソフトウェア製品のセキュリティアップデート提供責任を課す動きが広がりつつあります。日本も整備法の中で「情報システム供給者の責務規定」を設け、利用者のサイバーセキュリティ確保に資するよう努めるべきことを明記しました。これは法律上は努力義務に留まりますが、今後ベンダー各社の積極的な対応姿勢が問われるでしょう。

最後に制度全般の実効性ですが、いくつか課題も指摘できます。例えば協定ベースの情報共有は有用な反面、守秘義務の壁から得られる情報が限定されすぎて現場で活かせない可能性があります。また独立監理委員会がきちんと機能するか（高度専門人材の確保や政府に対する十分な独立性の確保）は制度の成否を左右します。加えて、新司令塔組織が情報を一元集約することで官民の連携は強まると期待される一方、平時から情報が集まりすぎて分析が追いつかない「情報洪水」に陥るリスクや、政府内の縦割りが本当に解消されるのかという懸念もあります。これらは今後の運用次第で改善・工夫が可能な点であり、次章の提言でも触れます。

今後の課題と政策提言

以上の検討を踏まえ、能動的サイバー防御法を実効性あるものとしつつ懸念を払拭するために、政府および関係機関が取り組むべき課題と方策を提言します。

独立監督機関の充実と透明性確保: サイバー通信情報監理委員会が形骸化しないよう、その委員には高度な技術知見と独立性を兼ね備えた人材（セキュリティ技術者、法律家、有識者）をバランスよく起用すべきです。委員会の審査プロセスや判断基準についても可能な範囲で公開し、国会報告では承認件数だけでなく監査結果や是正勧告の内容まで含めるなど透明性を高めることが重要です。またプライバシー保護の観点から、第三者機関による定期的な点検や市民代表の意見聴取の場を設け、社会によるチェックが及ぶ仕組みも検討すべきです。
通信傍受の技術的安全策の徹底: 政府が取得する通信情報については、フィルタリング精度の向上と取得データの厳格管理が不可欠です。具体的には、AIや機械学習を用いて攻撃に関連するパターンのみを抽出する高度なシステムを開発し、無関係な個人通信が誤って収集される確率を極小化すべきです。また取得後のデータは目的外利用を厳禁とし、分析が終わり次第速やかに破棄または匿名化処理を行うポリシーを明文化することが望まれます。さらに市民の不安軽減のため、統計情報の公開（例えば何件の通信を取得し何件が攻撃関連と判定されたか等）も検討してください。
国際ルール整備への積極関与: サイバー空間での反撃行為については国際法上の明確なルール策定がまだ途上です。日本は能動的サイバー防御の実施国として、国際社会での規範形成に積極的に関与すべきです。具体的には、国連の政府専門家会合（GGE）やオープンエンド作業部会（OEWG）などの場で本法に基づく取り組みを情報共有し、他国の知見も参考にしながら正当防衛の範囲や国家承認手続に関するガイドラインづくりに寄与することが求められます。海外の事例ではドイツで違憲審査を受けた例もありましたが、各国の試行錯誤から学び、タリン・マニュアル等の国際的知見を国内の運用ルールに取り入れつつ、常に国際法適合性を検証する体制を整備すべきです。
官民連携の実質化: 単に制度を作っただけでは十分な情報共有は進みません。官民協議会を実効性あるものにするため、信頼関係の醸成と双方向のメリット創出が鍵となります。政府は企業から報告・提供された情報を分析し、有益なフィードバックを迅速に返すことで企業側の「出し損」を防がねばなりません。例えば協議会参加企業には最新の脅威インテリジェンスや他業種のインシデント事例を還元し、自社防御に役立つ知見が得られるようにすることが重要です。また協議会や協定への参加対象は必要最小限に留め、中小企業まで過度な負担が波及しないよう配慮すべきです。併せて、平時から各業界のCSIRTやISACとの情報交換を密にし、いざという時に顔の見える関係が機能するよう演習や訓練の場を設けておくことも提案します。
企業負担軽減と周知支援: 新たな法規制に戸惑う企業も多いため、政府は施行までの間に詳細なガイダンスやQ&Aを示し、各業界団体と連携して周知徹底を図るべきです。特に報告義務については報告様式のテンプレート提供やオンラインポータルの整備、報告基準の明確化によって企業の迷いや負担を軽減してください。また中小企業に対しては直接の義務はなくとも、取引先である大企業のセキュリティ基準強化に伴い対策要求が波及する可能性があります。そのため中小企業向けのセキュリティ診断サービスや専門家派遣事業の拡充など、裾野支援策も強化することを提言します。
有事対応の手順整備: サイバー有事における警察・自衛隊・関係機関の連携手順について、法律上の役割分担は定まりましたが実際のオペレーションは詳細な詰めが必要です。そこで平時からの訓練と手順書の整備を提案します。具体的には、政府主導のサイバー演習において無害化措置発動のシナリオを組み込み、技術面・法律面のチェックリストを検証することが有益です。誰がどのタイミングで独立委員会承認を求め、外務省調整を行い、技術チームが攻撃コードを無力化するか――といった一連のフローを机上の計画に留めず実践で磨いておくべきです。また国内法的にはクリアでも、同盟国との調整が必要なケース（例えば在日米軍への攻撃対応等）も想定されるため、国際的な調整訓練も取り入れることを検討してください。

以上の提言は、能動的サイバー防御法の運用を社会に受容可能かつ効果的なものにするために不可欠なポイントと考えます。政府には立法趣旨である「サイバー空間の安全かつ安定した利用の確保」を実現する責務がありますが、それは強権的な監視によってではなく、民主的統制と技術的創意工夫によってのみ達成されることを強調したいと思います。

おわりに

能動的サイバー防御関連法の成立により、日本はサイバー攻撃への対処能力向上に向け大きな一歩を踏み出しました。国家と民間企業が協力し、攻撃を未然に察知・封じ込める枠組みが整備された意義は非常に大きいと言えます。一方で、サイバー空間の安全保障は「両刃の剣」でもあります。安全のための施策が過剰になれば市民の自由や企業活動を損ないかねず、不十分であれば国家の存立に関わる被害を招きかねません。本稿で論じたように、本法には通信の秘密や国際法との関係などクリアすべき課題がいくつか指摘されています。しかしこれらは、十分な監督と運用上の工夫によって克服可能な課題でもあります。重要なのは、政府・民間・技術コミュニティが継続的に対話し知見を共有しながら、この新しい枠組みを磨き上げていくことです。経済界も法案を支持する一方で、社会全体のレジリエンス強化に向け官民のさらなる連携と支援を期待しています。サイバー空間における脅威は日々進化しており、法律もまた時代に合わせたアップデートが必要です。能動的サイバー防御法も施行後の運用実績を踏まえ、数年後には見直しが図られるでしょう。その際には本稿で述べた課題点が改善され、より良い制度設計へと発展していることを期待します。技術者コミュニティとしても、本法の動向を注視しつつ、セキュリティ技術の革新や政策提言を通じて、安全で自由なサイバー空間の実現に貢献していきたい所存です。

以上、能動的サイバー防御法の概要と課題を論じ、いくつかの提言を試みました。本稿が関係者の理解深化と建設的な議論の一助となれば幸いです。