メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

サービス・製品　|　
2025年8月22日

能動的サイバー防御とは？実施方法や利点・課題まで徹底解説

広報

メルマガ登録する

メルマガ登録する

サイバー攻撃の高度化や国際情勢の変化を受け、政府が法制度の整備に乗り出すなど能動的サイバー防御への注目が高まっています。日本でも衆議院での法案提出によって定義や位置付けが明確になりつつあり、今後の実施に現実味を帯びてきました。

本記事では、能動的サイバー防御の利点や課題を解説するとともに、企業にとっての影響や今後の動向、実施に向けた準備のポイントを解説します。対策の一歩を踏み出すヒントとして、ぜひご一読ください。

能動的サイバー防御とは？
能動的サイバー防御が必要とされる理由は何か
能動的サイバー防御の具体的施策は何を行うのか
能動的サイバー防御を実施する利点とは
能動的サイバー防御を実施する際の課題とは
政府や国際社会の取り組みの最新動向
さいごに

能動的サイバー防御とは？

能動的サイバー防御とは、サイバー攻撃による被害が現実化する前の段階から攻撃の兆候を探知し、主体を特定・排除することで被害の発生や拡大を未然に防ぐサイバーセキュリティ戦略です。衆議院で審議された法律案「サイバー安全保障を確保するための能動的サイバー防御等に係る態勢の整備の推進に関する法律案」^※1において、国家及び国民の安全を守るための中核的なアプローチとして明確に位置付けられました。

急速に高度化・組織化するサイバー脅威に対し、国際的なサイバー防衛の枠組みに加わっていく上でも、能動的サイバー防御はますます重要な役割を担っています。

能動的サイバー防御の主な特徴は以下の通りです。

区分	従来の防御策	能動的サイバー防御
対応のタイミング	攻撃を受けたあとの事後対応	攻撃の予兆を捉えた段階での事前対応
対応の範囲	自組織のネットワークのみ	攻撃元の特定・排除まで視野に入れる
実施主体	各組織が独自に対応	政府と民間の緊密な連携により実施
法的位置付け	個別組織の対応として完結	政府による特別な権限付与が必要

攻撃の兆候を示す情報を幅広く収集し、潜在的な脅威を早期に把握します。さらに重要なのは、脅威を検知するだけでなく、攻撃主体を明確に特定することにあります。

サイバー攻撃とは？最近の動向や事例・有効な対策をわかりやすく解説

アクティブサイバーディフェンス（Active Cyber Defense）との関係

アクティブサイバーディフェンスは、「攻撃されてから対応する」受動的防御（Passive Defense）から一歩進み、攻撃の兆候を捉えて被害が出る前に先手を打つ防御手法であり、能動的サイバー防御と共通した概念です。

しかし、日本政府が現在法整備を進めている能動的サイバー防御は、単なる概念を超え、国家安全保障政策の中に組み込まれた明確で具体的な制度です。例えば、攻撃元ネットワークへの侵入や攻撃用サーバの無害化など、より踏み込んだ措置を取ることが定められており、これが国際的に議論される抽象的なアクティブサイバーディフェンスとの大きな違いです。

また、日本の能動的サイバー防御は、軍事的・物理的な側面を含む一般的な「能動防御（Active Defense）」とは異なり、あくまでも「サイバー空間に限定された防御的対応」である点も重要な特徴です。

今後、企業のインシデント対応や情報共有の枠組みにも影響を及ぼす可能性があり、この制度がどう運用されるかは、サイバーセキュリティのあり方そのものを左右する重要な論点となっています。

能動的サイバー防御が必要とされる理由は何か

能動的サイバー防御が必要とされる理由として、サイバー攻撃の目的や脅威が変化してきていることと、米国や他国の政策が影響していることが挙げられます。

それぞれの内容を詳しくみていきましょう。

サイバー攻撃の目的や脅威の変化

能動的サイバー防御が必要とされる背景には、現代のサイバー攻撃の性質が大きく変化していることがあります。現在、サイバー空間は社会インフラを支える重要な基盤ですが、その重要性が増すにつれて、それを悪用するリスクも深刻化しています。こうした変化により、従来の防御手法だけでは対処が困難な状況となりました。

特に懸念すべきは、攻撃の動機が単なる愉快犯的なものから、社会全体に深刻な影響を与えることを狙ったものへと変化している点です。ランサムウェアによる身代金要求や企業機密情報の窃取といった、経済的利益を目的とした攻撃も常態化しています。

さらに、軍事的・非軍事的手段を組み合わせた「ハイブリッド戦」の増加に伴い、サイバー攻撃が政治的・軍事的戦略の一部として利用される事例も目立つようになりました。国家間の緊張や地政学的な対立とも深く関連しており、従来の受動的な防御策のみで対処するのは困難です。こうした状況に対応するため、能動的サイバー防御の実施が求められています。

米国や他国の政策が日本に与えた影響

能動的サイバー防御が必要とされる背景には、国際的な政策動向と日本の従来手法の限界が明確になったことがあります。米国は2010年代からDefend forward戦略を本格的に展開し、敵対国のサイバー拠点に対して先制的にアクセスすることで、攻撃を未然に防ぐ積極的なアプローチを採用してきました。

戦略的転換は米国単独のものではなく、英国、ドイツ、フランスといった主要同盟国においても類似の施策が相次いで実施されています。一方、日本は長年にわたって受動的なサイバーセキュリティ対策を政策の中心に位置付けてきました。受動的な手法は、サイバー攻撃を受けたあとに検知し、被害の拡大を防ぐことに主眼を置いたものでした。^※2

近年の国際情勢の変化と攻撃手法の高度化により、従来型アプローチの限界が鮮明になってきています。

能動的サイバー防御の具体的施策は何を行うのか

能動的サイバー防御の具体的施策として、次の内容が挙げられます。

情報収集・予兆検知
攻撃サーバの特定・排除措置
政府と民間企業の効果的な連携体制

それぞれ、具体的にどのような対処が必要かをみていきましょう。

情報収集・予兆検知

能動的サイバー防御における重要施策の一つとして、情報収集・予兆検知が挙げられます。ただし現在の法的枠組みでは、政府機関がサイバー防御活動を実施する際に様々な制約があるため、攻撃の兆候を把握しても十分な措置を講じることが困難な状況が続いているのが実情です。

こうした現状を打破するために検討されているのが、新たな権限の付与です。国家や重要インフラに対し、安全保障上の重大な脅威となるサイバー攻撃が予測される場合に限り、政府が攻撃者のサーバやシステムに侵入して無害化措置を行える仕組みの整備が議論されています。^※3

具体的には、令状を要さず不審なサーバを調査する権限や、攻撃インフラを一方的に無力化するための措置などが検討対象となっています。これらは従来の法執行とは性質が異なり、迅速かつ機動的な安全保障措置としての位置付けがなされているのが特徴です。

攻撃サーバの特定・排除措置

能動的サイバー防御における具体的な施策として、攻撃サーバの特定・排除措置があります。施策の基盤となるのは、国内通信事業者が提供する通信サービスに関連する情報の戦略的活用です。

通信事業者との連携により、ネットワーク上を流れる通信データから攻撃者による悪用が疑われるサーバやシステムを効率的に検知する体制の構築が求められています。

特に重点的な対象となるのは、マルウェアやボットネットに感染した端末を外部から遠隔操作するためのC&C（Command and Control）サーバやマルウェア配布サイトなどの攻撃インフラです。これらのサーバは攻撃者が感染したコンピュータを遠隔操作したり、新たなマルウェアを拡散させたりするための中核的な役割を担っているため、早期発見と迅速な対処が極めて重要です。

政府と民間企業の効果的な連携体制

能動的サイバー防御の実効性を高めるためには、政府と民間企業の間での密接な連携体制が不可欠です。双方向の情報共有と協調的な対応体制の構築が必要で、具体的には次のような連携が求められます。^※3

連携体制の要素	政府の役割	民間企業の役割
情報共有プラットフォーム	基盤整備・運営・情報提供	情報提供・活用
インシデント報告体制	制度設計・情報分析	迅速な報告・協力
脆弱性対応・パッチ適用	基準策定・監督	迅速な対応・実装
訓練・演習	企画・指導・環境提供	積極的参加・知見共有
人材育成・技術開発	資金提供・研究支援	実践的活用・研究開発

民間企業がサイバー攻撃を受けた場合に迅速に政府へ情報提供できる仕組みを整える一方、政府側も民間企業への対応支援や調整機能を強化し、官民が一体となって社会全体のサイバーセキュリティの向上を目指す必要があります。

能動的サイバー防御を実施する利点とは

能動的サイバー防御を実施することにより、サイバー攻撃の未然防止や組織のセキュリティ信頼度を高めるなど、企業としての体制の基本的な水準が向上する利点があります。

それぞれ利点を詳しく解説します。

サイバー攻撃の未然防止につながる

能動的サイバー防御を実施する最大の利点は、サイバー攻撃を未然に防止できる点にあります。リアルタイムで攻撃の兆候を監視する仕組みを中核としており、従来の人的対応が主体の防御とは、根本的に異なるアプローチを採っているのが特徴です。

また、自動化された監視・対応システムによって、攻撃の初期段階での検知・遮断が可能になります。攻撃が本格的に進行して深刻な被害が発生する前に、有効な防御措置を採れるのです。

こうした早期対応能力は、急速に拡散・悪化する現代のサイバー攻撃への対応策という意味では極めて効果的な対策です。攻撃検知から人間による対応までの時間的なロスを大幅に短縮できるため、被害の拡大を根本的な段階で防ぐことにつながります。

サイバーセキュリティとは？リスクや効果的な対策を分かりやすく解説

組織のセキュリティ信頼度が向上する

能動的サイバー防御を実施することは、組織に対するセキュリティの信頼性を高める上でも効果的です。従来の防御策は攻撃を完全に遮断することを目的としていましたが、能動的サイバー防御では、攻撃者の行動を積極的にコントロールし、機密データや重要システムへのアクセスを阻止するとともに、攻撃手法や目的を詳しく分析することも可能になります。

攻撃の手法を事前に把握・分析しておけば、万が一攻撃者がシステムに侵入した場合でも、重要なデータを安全に守ることができます。さらに、迅速な封じ込め対応を行うことで攻撃による影響範囲を最小限に抑え、業務継続性の維持にも役立ちます。

また、能動的サイバー防御の実施は、組織全体における積極的で先制的な防御意識への変化を促します。こうした意識の変化は技術面に限らず組織文化にも影響し、従業員一人ひとりがサイバーセキュリティを自分自身の課題として捉えるきっかけとなるでしょう。

能動的サイバー防御を実施する際の課題とは

能動的サイバー防御を実施する際には、次に挙げるポイントが課題となるでしょう。特に法整備や憲法上の課題があることに留意し、慎重な情報収集や状況判断が求められます。

法整備や憲法上の課題
技術的な課題
政府への権限付与
国際協調の難しさ

それぞれの課題にどのように向き合うべきかを解説します。

法整備や憲法上の課題にどう対応するか

能動的サイバー防御の実施における課題は、現行の法的枠組みとの整合性確保です。サーバ調査やハッキングバックといった能動的な対処措置は、既存の法律では不正アクセス行為やコンピュータ犯罪に該当する可能性が高く、防御目的であっても違法行為として処罰される危険性があります。

令状を取得せずに不審なサーバを調査したり、攻撃者のシステムに直接侵入して無害化措置を講じたりする行為は、現行の刑事手続法や憲法の適正手続き保障の原則に抵触する重大な法的リスクをはらんでいます。

具体的には、能動的サイバー防御は、攻撃元のサーバなどに直接介入する行為を含む場合があり、他国や第三者の通信を妨害・傍受する可能性があります。そのため、憲法第21条の通信の秘密の保障や、第9条の武力行使制限に抵触する恐れがあると指摘されています。

憲法以外にも多くの法令が関与します。第三者システムへの介入は不正アクセス禁止法や刑法（電子計算機損壊等）に抵触し得るほか、電気通信事業法の通信の秘密、個人情報保護法の制約を受けます。国家の対応では自衛隊法・サイバーセキュリティ基本法が枠組みとなりますが、反撃的行為の明確な法的根拠がまだ不足しているのが実情です。

法的な課題を解決するためには、能動的サイバー防御の実施を可能にする新たな法的根拠の整備が不可欠です。法整備においては適切な歯止め機能も重要で、プライバシー保護の確保、権限行使の透明性担保、濫用防止のための監督体制の整備、国会や司法による事後的なチェック機能の強化など、制約メカニズムが必要です。

技術的な課題を克服するには

能動的サイバー防御を実装する際の主な技術的課題は、サイバー攻撃が持つ匿名性への対処です。攻撃者は複数の中継サーバや匿名化技術を駆使して正体を隠すため、攻撃源を正確に特定するのが困難です。その結果、攻撃者を誤認し、無関係な個人や組織に対して不適切な対処措置を行ってしまうリスクも存在します。

こうした課題を克服するためには、高度なトラフィック分析や行動解析技術の導入、AIや機械学習を活用した攻撃者特定技術の精度向上などが必要です。さらに、匿名化技術に対抗するための先端技術開発を促進する取り組みも求められます。

また、近年のサイバー攻撃はますます洗練されており、これに対抗するためには高度な技術的知識と豊富な実践経験を持つ専門人材が不可欠です。しかし、このような高度人材は数が限られているため、民間との連携を強化したり、国を挙げて人材育成に取り組んだりすることが重要です。

さらに、攻撃者のシステムに侵入して無害化措置を行う際には、操作ミスや予期しないシステム反応によって、対象システムの障害やデータ損失を招く可能性があります。そのため、仮想環境での事前検証や継続的な訓練、運用ガイドラインの整備を徹底し、安全性を高めるための仕組み作りも欠かせません。

政府への権限付与に関する懸念

能動的サイバー防御を実施する際に政府へ新たな権限を付与することは、安全保障の観点から必要な措置である反面、民主主義社会においては権力濫用への懸念も伴います。特に「通信情報の利用」に関する権限付与については、慎重な制度設計と厳格な運用が求められる分野です。

権限の濫用を防ぐため、政府が取得可能な情報は、サイバー攻撃に直接関係すると明確に認められるものに厳しく限定されており、無制限な情報収集は許可されていません。また、国内のみで完結する通信（内内通信）は情報取得の対象外とするなど、通信の秘密に配慮した仕組みが整備されています。

さらに、新たに独立した第三者機関として「サイバー通信情報監理委員会」の設置が予定されています。この委員会は政府から独立した立場で制度運用を監視し、政府による権限行使が適切かどうかを厳正にチェックする役割を担います。

国際協調の難しさにどう向き合うか

能動的サイバー防御の実効性を確保する上では、国際的な協調が難しい点も課題となっています。その大きな理由として挙げられるのは、各国の法制度や政治体制に根本的な違いが存在することです。能動的サイバー防御において求められる権限や手続きは国ごとに異なり、一つの国では合法とされる措置が別の国では重大な法律違反にあたる可能性もあります。

さらに、地政学的な対立や政治的利害の不一致により、本来協力すべき国同士の間でさえ情報共有や連携が阻害されるケースもあります。どの程度の証拠が揃えば調査を開始できるのか、得られた情報をどの範囲まで共有するのかといった具体的な技術的・法的問題について、各国間で合意形成を図るのは容易ではありません。

こうした国際協調上の課題を克服するためには、段階的な信頼関係の構築、共通の国際的規範の設定、そして継続的な多国間対話の枠組み作りが重要となります。

政府や国際社会の取り組みの最新動向

日本では、能動的サイバー防御を実施するための法案が成立したことを受けて^※4、政府は2027年の本格運用開始を目標としています。サイバー安全保障担当相は、「サイバー安全保障分野において、欧米の主要国と同等かそれ以上の対応能力を持つ」という明確な目標を掲げ、国際的な水準に到達することを目指しています。

一方、米国ではすでに能動的サイバー防御の運用が始まっており、中国によるネットワーク貫通型のサイバー攻撃を、安全保障上深刻な平時攻撃として位置付け、積極的な防御措置をとっています。

2024年2月7日には、米国のCISAを含む複数国のセキュリティ機関が、中国政府の支援を受けるハッカーグループ「Volt Typhoon」に関する共同アドバイザリを発表しました。^※5同グループは過去5年以上にわたり米国の重要インフラに侵入し続けており、重要インフラ関連の組織に対しては攻撃手法に関する情報提供と、脅威緩和策の迅速な適用が推奨されています。

さいごに

本記事では能動的サイバー防御の解説をしました。能動的サイバー防御は、サイバー攻撃による被害が現実化する前の段階から攻撃の兆候を探知し、主体を特定・排除することで被害の発生や拡大を未然に防ぐサイバーセキュリティ戦略です。能動的サイバー防御が必要とされる理由として、サイバー攻撃の目的や脅威が変化してきていることと、米国や他国の政策が影響しています。

一方で、能動的サイバー防御の実施を進めるためには、その前段階として、社内環境の整備や予兆検知体制の構築が不可欠です。