チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「能動的サイバー防御って何が変わるの?うちの会社も対象になる?」
「2026年10月施行って聞いたけど、企業は何を準備すればいいの?」
チップスボス、「能動的サイバー防御」って最近よく聞くでしゅけど、結局何が変わるんでしゅか?
ボスひと言でいえば、国が攻撃サーバーを「潰しに行ける」ようになる法律だ。
基幹インフラ事業者には新たな届出義務も課される。
2026年10月の施行まで半年。準備は今から始めるべきだな。
2025年5月に成立した「サイバー対処能力強化法」が、2026年10月1日に施行されます。
「能動的サイバー防御」の法的基盤となるこの法律は、官民連携の強化と攻撃インフラへの対処を可能にする、日本のサイバーセキュリティ政策の転換点です。
この記事では、法律の概要と企業が備えるべきポイントを解説します。
自社が対象事業者に該当するかどうかの確認を含め、今のうちに押さえておきましょう。
能動的サイバー防御を実現するために、3つの制度が設けられています。
法律の骨格をなす3つの柱を整理します。
| 柱 | 内容 |
|---|---|
| 官民連携の強化 | 基幹インフラ事業者がサイバー攻撃を受けた際の報告義務、政府との情報共有体制の構築 |
| 通信情報の利用 | 内閣総理大臣が特定の条件下で通信情報を取得・分析し、関係機関へ提供可能に |
| 攻撃サーバーの無害化 | 警察・自衛隊が攻撃に使われるサーバーに対して無害化措置を実施可能に |
これまで日本では、攻撃サーバーが国内にあっても法的に手を出せないケースがありました。
今回の法律で、一定の要件を満たせば警察や自衛隊が攻撃インフラを無力化できるようになります。
従来の「やられてから対応する」姿勢から、攻撃を未然に防ぐ方向への転換です。
チップス攻撃サーバーを国が止められるようになるってことでしゅか!
でも、通信情報を政府が見るって……プライバシーは大丈夫でしゅか?
ボスもっともな疑問だ。
通信情報の利用には独立機関による監督が設けられている。
ただし、運用が始まってからの透明性をどう担保するかは、今後の課題だな。
対象事業者に該当するかどうかに関わらず、確認すべきポイントがあります。
基幹インフラ事業者に指定されている場合、「特定重要電子計算機」の導入時に製品名などの情報を事業所管大臣に届け出る義務が課されます。
対象となる15分野は以下の通りです。
約250社が対象とされていますが、サプライチェーンを通じて間接的に影響を受ける企業はさらに多くなります。
対象事業者でなくても、以下の準備は進めておく価値があります。
法律の詳細は内閣官房のサイバー安全保障ページで確認できます。
サイバー対処能力強化法は、日本のサイバーセキュリティ政策を「防御」から「能動的対処」に転換する法律です。
2026年10月の施行まで半年。
基幹インフラ事業者はもちろん、そのサプライチェーンに連なる企業も、今のうちに体制の見直しを始めておきましょう。
ボス法律が変わるということは、「知らなかった」では済まされなくなるということだ。
施行日が来てから慌てるのは最悪のパターンだぞ。
チップスうちの会社がどの分野に当てはまるか、まず確認してみるでしゅ!
