Tripwireはこのほど、「Japan's Active Cyberdefense Law: A New Era in Cybersecurity Strategy|Tripwire」において、日本における「能動的サイバー防御」制度を指す通称とされる「アクティブ・サイバーディフェンス法(Active Cyberdefense Law)」の成立を受け、同法の概要と国際的な文脈に照らした評価を報じた。
法律の成立経緯や内容だけでなく、他国の動向との比較や民間部門への影響についても言及している。
-
Japan's Active Cyberdefense Law: A New Era in Cybersecurity Strategy|Tripwire
法律制定の背景
2025年5月16日、日本の国会においてアクティブ・サイバーディフェンス法が可決された。同法は、重大なサイバー攻撃を未然に防ぐための事前的対処を公的機関に認めるものとされている。この法律の成立には、過去数年にわたる複数の深刻なサイバー攻撃が背景にある。例えば2020年には、中国の国家支援を受けたとみられる攻撃者によって、日本の防衛ネットワークが侵害されたと報告されている。
また2022年、当時の米国家情報長官だったデニス・C・ブレア氏が日本のサイバー防衛体制を批判したことも、法制度強化の大きな後押しとなった。こうした経緯を踏まえ、日本は法制度面の強化に踏み切ったものと見られる。
法律の主な内容
アクティブ・サイバーディフェンス法は、次のような措置を政府機関に認めている。
- 海外から日本を通過または発信元とするインターネット通信の監視
- 攻撃者のインフラに対する事前の無力化措置
- 自衛隊と警察との合同サイバー作戦の実施
- 企業によるサイバー攻撃や通信機器の新規導入の報告義務
一方で、同法は国内通信の内容には踏み込まないことを明記している。メールやメッセージなどの私的通信の内容は対象外とされ、政府機関が分析可能なのはIPアドレスやコマンド、通信の流れといった技術的メタデータに限定されている。また、プロアクティブなサイバー作戦を実行するには、独立した監視機関による事前承認が必要とされており、プライバシー保護との整合性も一定程度担保されている。
国際的な潮流と日本のいちづけ
日本の新法は、サイバーセキュリティを巡る国際的な潮流とも合致している。米国、英国、イスラエル、オーストラリアなども、サイバー攻撃に対してより即時的かつ積極的な対処を可能にする法制度を導入してきた。
これらの国々と同様、日本も攻撃後の対応ではなく、事前的な予防策を重視する方向へと戦略を転換している。ただし、日本の法制度は軍や警察による攻撃的措置を許容する一方で、私的領域への干渉を抑制する条項を設けるなど、慎重なバランスを図っている点が特徴とされている。
企業への影響
この法律の成立により、民間企業にもいくつかの義務が生じることとなる。具体的には次の点が挙げられる。
- サイバーインシデントや新たな通信機器の導入時の報告義務
- 政府のサイバー対処戦略に沿った防衛体制の構築
- 国際的な通信インフラに対する監視強化への対応
とくに重要インフラを担う事業者は、政府との連携を前提としたセキュリティ対策が求められるようになる。このことは、事業運営上の技術的課題をもたらす可能性があるが、同時に国家レベルでの統一的な防衛体制への参加という側面も持ち合わせている。
今後の展望と課題
同法の実効性を確保するには、制度面の整備にとどまらず、政府・自衛隊・警察が連携して運用体制を構築していく必要がある。また、国際的なパートナーシップの強化や、技術共有の仕組みづくりも求められる。
Tripwireは、同法がサイバー攻撃への対応を近代化する試みであると同時に、攻撃的対処と市民の権利保護を両立しようとする一つの試案であるといちづけている。
