能動的サイバー防御時代の民間アーキテクチャ設計
- 山崎行政書士事務所
- 2025年9月7日
- 読了時間: 9分
――令和7年「サイバー対処能力強化法」体制下における攻防分業、証跡設計、SLA運用――
要旨(Abstract)2025年5月に成立した「サイバー対処能力強化法」および同整備法は、日本のサイバー安全保障を“受動防御中心”から能動的サイバー防御(Active Cyber Defense, ACD)へ段階的に移行させる制度基盤である。本稿は、法制度のコア要件(官民連携・通信情報の利用・アクセス/無害化措置)と独立監督の導入を踏まえ、民間(重要インフラを含む事業者)が技術と運用で担うべき役割を、設計パターン、証跡とログの要件、契約SLA、監査・当局対応の観点から体系化する。結論として、「攻めは国家、民間は設計で勝つ」という役割分担のもと、(1) 高速検知・隔離・通報のランブック化、(2) 機械的情報に焦点化したフォレンジック・レディネス、(3) 官民連携を回すSLA/KPI実装、(4) 法域・規制を横断可能な**監査線(不可逆ログ+理由コード)**整備が、実装最優先事項である。制度の要件は公式一次情報に依拠して整理した。Cabinet Office, Government of Japan首相官邸ホームページNISC
1. 背景と位置づけ(Policy Landscape)
第217回通常国会でサイバー対処能力強化法および同整備法が成立。政府は能動的サイバー防御の実装に向け、サイバー空間の脅威に対処する喫緊事項の推進と、法施行準備の徹底を関係府省庁に指示した。制度は、(1) 官民連携(重要インフラの届出・報告義務化、協議会)、(2) 通信情報の利用(同意/非同意による取得、自動選別の枠組み)、(3) アクセス・無害化措置(警察の無害化、自衛隊の通信防護等)という三本柱で構成される。首相官邸ホームページNISC
本制度の運用には、独立した三条委員会であるサイバー通信情報監理委員会(以下、監理委)が関与し、非同意取得や無害化措置等に対する事前審査・承認、継続検査、国会報告が義務付けられる。委員は両院同意人事で構成され、運用状況を公表する。Cabinet Office, Government of JapanDigital Agency
通信情報の扱いでは、国外→国内(外内)および国内通信事業者が媒介する国外↔国外(外外)の疑わしい通信情報に関し、内閣総理大臣が取得→自動選別を行い、**IP アドレスや指令情報等の「機械的情報」**のみ選別記録する枠組みが整備された(保存・管理の制限あり)。NLI Research InstituteHouse of Councillors
2. 役割分担の原則:攻防分業(民間は反撃しない)
攻撃者インフラへの侵入・無害化(いわゆるハックバック)は、公権力(警察/自衛隊)の所掌であり、民間主体には想定されていない。民間の責務は、検知・封じ込め・通報・証跡化・事業継続である(技術的欺瞞/ディセプション等の自組織内受動的能動手段は除外され得るが、域外の侵入は不可)。NISC
この分業は、国際法上の適法化論点(主権侵害・対抗措置・緊急避難)を国家の枠組みに閉じ込める効果を持つ。とりわけアクセス・無害化措置は、国際法上の評価が分かれる領域であり、監理委の事前審査等の統制が前提となる。民間は参加型のエビデンス供給者としての成熟が求められる。Ministry of Defense NIDS
3. 技術アーキテクチャ:フォレンジック・レディネスを中核に
3.1 目標像
検知:数分以内に兆候を捕捉(EDR/NDR/SIEM/UEBA)。
隔離:爆発半径を最小化(ゼロトラスト分割、特権最小化、ネットワークミクロセグメンテーション)。
通報:官(監理委・所管庁・警察窓口)/業界ISAC/委託先への多系統即時発報。
証跡:不可逆(WORM)で真正性(署名・タイムスタンプ)を担保し、「機械的情報」中心に短時間で提出可能。NISCNLI Research Institute
3.2 参照アーキテクチャ(ベンダ非依存)
データ面:
テレメトリの標準化(ネット:JA3/TLS指紋、DNS、HTTPメタ、フロー;端末:プロセス系・ハンドル・モジュール・ETW)。
時刻同期:複数 NTP ソース+署名、閾値逸脱検知。
不可逆保全:WORM(クラウド不変ストレージ, オブジェクトロック)、ハッシュ鎖、鍵管理の職責分離(KMS/HSM)。
制御面:
SOARでプレイブック自動化(封じ込め→隔離 VLAN/SG→IOC 配布→通知)。
STIX/TAXIIで ISAC/官側からの IOC/IoA を自動流入・適用。
境界面:
ゼロトラスト(ID 中心、デバイス状態、ネット位置非依存、継続認証)。
ディセプション(ハニートークン/ハニーネット)※自組織内限定。
3.3 Azure 実装例(要点)
収集/整理:Microsoft Sentinel(Syslog/CEF/AMA)、Defender XDR/for Endpoint、MDE の ASR ルール、Defender for IoT。
保全:Storage(Immutable Policy・リーガルホールド)、Key Vault(鍵/証明書)、Azure Monitor/Log Analytics(長期保持)。
自動化:Logic Apps/Functions による SOAR、Entra ID(条件付きアクセス、PIM)。
共有:Microsoft Defender Threat Intelligence + TAXII コネクタ、Purview でデータガバナンス。(AWS/GCP でも S3 Object Lock/GCS Retention 等で等価に置換可能)
4. 通信情報(外内/外外)の“出せる設計”
法が想定する自動選別は、IP・日時・指令情報等の**「機械的情報」に限定される。企業側は、恒常的に当該情報を抽出・要約・提示できるスキーマを前提にログ設計を行うべきである。保存期間の上限(原則2年以内**)等の運用制約も踏まえ、保存・削除のポリシー連動を実装する。NLI Research InstituteHouse of Councillors
推奨スキーマ(抜粋):
net.session_id, src_ip, src_port, dst_ip, dst_port, proto, tls_ja3, sni, http_verb, url_host, url_path, cmd_sig (指令パターン), ts_utc, sensor_id, integrity_hash
edr.proc_exec_id, parent_pid, image_sha256, cmdline_sig, user_sid, ts_utc, integrity_hash
dns.qname, qtype, rrdata, resolver_ip, ts_utc, integrity_hash
Reason Code(例):「ACD-EXTERNAL-OUTER(外外疑い)」「ACD-EXTERNAL-INBOUND(外内疑い)」「CNI-INCIDENT」「VULN-EXPLOIT」――監督当局・監理委・警察・ISAC のどこに何を出すかをコードで統一。
5. ランブック(Runbook)とSLA/KPIの制度内化
5.1 3分・30分・3時間のタイムボックス
T+3分:重大度判定(High/Severe)→ネットワーク隔離(端末/サブネット)→一次通報(CSIRT/管理職)。
T+30分:官/ISAC/委託先への自動チケット発行(Reason Code付)、CIRT 合同ブリッジ起動。
T+3時間:外内/外外の疑いがある通信の要約エビデンス(機械的情報)を提出可能な状態に。
5.2 KPI
MTTD/MTTR:検知から隔離/復旧まで。
報告 SLA:T+30 分以内の一次報告、T+180 分以内の技術要旨(機械的情報+時系列)。
復旧 SLA:RTO/RPO(業務別)。
監査線:検知→隔離→通報→提出→広報の不可逆ログ完結率。
5.3 調達・契約
委託・共同運用契約に、報告 SLA、ログ提出要件、共同広報条項、当局対応協力、**脆弱性対応(SLA)**を明記。
重要インフラは、届出・報告のトリガと協議会参加を入札要件に格上げ。NISC
6. 監督・独立審査への適合(提出物の作り方)
監理委による事前審査・承認、継続検査、国会報告への反映を前提に、以下の標準提出物を用意する。
技術要旨:インシデント概要、被害想定、機械的情報の要約、封じ込め実施状況。
網羅ログ:WORM 区画への参照 URI とチェーン・オブ・カストディ。
運用記録:誰が/いつ/何を判断し、どの通信を何故疑ったか――理由コードと紐づく決定ログ。
広報草稿:顧客・株主・所管庁向けの一貫文案(法務レビュー済み)。※保存期間・アクセス制御・職員の守秘等の安全管理措置は、内閣府令等の基準に即して設計。House of Councillors
7. 国際法と“越境”の視座(簡潔版)
Tallinn Manual 2.0は、武力行使未満のサイバー行為(平時)に関する国際法の適用可能性を整理した権威ある準拠資料である。日本の ACD はこれと整合する形で、国家がアクセス・無害化の適法化(対抗措置・緊急避難の射程)を検討し、民間は越境行為を行わないアーキテクチャで役割を分離するのが基本設計である。ccdcoe.org
8. 演習(TTX/実動)の設計テンプレ
シナリオ:① 外外 C2 通信経由のラテラルムーブ(OT/IT 跨ぎ)② 住民向けサービス停止+デマ拡散③ 供給網(委託)からの侵入。
目的:3分・30分・3時間の達成可否、機械的情報の抽出と提出の質・速度。
評価:RTO/RPO、報告 SLA 達成、監査線の切れ目、誤陽性対応、広報の一貫性。
AAR:ギャップをRunbook/SOPへ反映、契約差し替え(SLA)提案までをワンセット。
9. 典型落とし穴と回避策
× “自社で反撃”:違法・逸脱リスク。→ 封じ込め・通報・証跡へ集中。NISC
× ログ過多・無構造:提出不能。→ 機械的情報中心スキーマで要約ファースト。NLI Research Institute
× 監査線の欠落:後追いで説明不能。→ 不可逆ログ+理由コード。
× 契約に報告SLAなし:分断。→ 調達・委託契約で官民連携のSLAを条文化。NISC
10. 実装ロードマップ(90日/180日/365日)
0–90日:
3分・30分・3時間 Runbook策定、SOAR の最小自動化。
時刻同期+WORM導入、Reason Code体系の定義。
一次提出テンプレ(技術要旨+要約ログ)作成。
90–180日:
ISAC/TAXII 接続、IoC 自動適用。
委託・共同運用契約の SLA/ログ提出条項の改訂。
TTX→実動演習(AAR→SOP 改訂)。
180–365日:
業務別 RTO/RPOの検証、不可逆ログの外部監査試行。
官民協議会への定例アウトプット化(ダッシュボード+提言)。NISC
11. まとめ
能動的サイバー防御は、制度として国家が“攻めの権限”を保持しつつ、民間に迅速で提出可能な検知・封じ込め・証跡化を要求する時代の到来である。「攻めるのは国家、守り切る設計は企業」――その実装核は、(i) フォレンジック・レディネス(機械的情報スキーマ+不可逆ログ)、(ii) ランブック×SOARのタイムボックス運用、(iii) SLA/契約による官民連携の制度内化、(iv) 監理委・当局に対する提出物の定型化である。これらを満たす企業は、被害最小化と規制適合を両立し、事業継続とレピュテーションの防衛を可能にする。
付録:山崎行政書士事務所の支援モジュール(技術者向け)
ACD準拠ギャップ診断(2週間スプリント)
事業・網構成を棚卸し、官民連携/通信情報(外内・外外)/無害化措置に関わる境界をマップ。
Runbook/SOP雛形(3分・30分・3時間)、提出パッケージ(技術要旨/要約ログ)を同時提供。NISC
ログ/証跡アーキ設計
機械的情報スキーマ、NTP+WORM+署名、チェーン・オブ・カストディ。
Reason Codeと**ダッシュボード(提出可視化)**の実装。
契約・調達の再設計(英日)
報告SLA、ログ提出、共同広報、当局連携、脆弱性SLAを委託・共同運用・SOC・クラウド契約へ反映。
監理委・当局対応パック
事前審査/継続検査を想定した提出書式/説明台本、国会報告・公表影響のリスクアセスメント。Cabinet Office, Government of Japan
TTX/実動演習
外外 C2/OT-ITラテラル/デマ拡散シナリオで、SLA達成と提出品質を実測。AAR からSOP/契約まで連鎖改訂。
注:本稿は一般情報であり、個別の法的助言ではありません。実装は貴社の事業・システム構成・法域分布に応じた個別設計が必要です。
参考・一次情報(抜粋)
内閣官房「サイバー安全保障に関する取組(能動的サイバー防御の実現に向けた検討など)」:法成立の公式アナウンス。Cabinet Office, Government of Japan
首相官邸「サイバーセキュリティ戦略本部」:法成立を踏まえた施行準備指示。首相官邸ホームページ
NISC資料(第39回 CIIP 資料):三本柱(官民連携/通信情報の利用/無害化措置)、警察・自衛隊の役割、組織体制。NISC
内閣官房説明資料(PDF):サイバー通信情報監理委員会の権限、国会報告、公表。Cabinet Office, Government of Japan
NLI・政策解説:外内/外外の取得、自動選別、機械的情報の整理。NLI Research Institute
参議院・立法調査資料:選別後通信情報の保存期間(原則2年以内)、安全管理措置。House of Councillors
NIDS 論考(2025/8/29):アクセス・無害化措置の国際法上の評価と審査プロセス。Ministry of Defense NIDS
CCDCOE「Tallinn Manual 2.0」:平時の国際法適用に関する定本。ccdcoe.org
コメント