能動的サイバー防御法(サイバー対処能力強化法)とは? 2026年施行で中小企業・サプライチェーンに何が起きるか
2025年5月に成立した、いわゆる能動的サイバー防御法(サイバー対処能力強化法)の施行が近づいています。インシデント報告などの中核制度は2026年中の本格施行が見込まれており、対象となる事業者では準備が本格化しています。
「能動的サイバー防御」という名前から「政府が攻撃者のサーバーを無害化する話で、うちの会社には関係ない」と受け取られがちですが、それは法律の一面にすぎません。この法律は基幹インフラ事業者に届出義務・インシデント報告義務を課し、その影響はサプライチェーンを通じて取引先の中小企業にも波及する構造を持っています。
この記事では、法律の全体像と施行スケジュール、そして「直接の規制対象ではない中小企業」に何が起きるかを整理します。
能動的サイバー防御法とは——4つの柱
この法律は、日本のサイバーセキュリティを「攻撃を受けてから対処する」受動的な体制から、「攻撃の予兆を捉えて先回りして被害を防ぐ」能動的な体制へ転換するための法律です。柱は4つあります。
1. 官民連携の強化
基幹インフラ事業者(電気・ガス・水道・鉄道・航空・金融・通信・医療など国民生活の基盤となる事業者)に対して、
- 特定重要電子計算機(重要システム)の届出義務
- インシデント発生時の報告義務
を課し、政府との情報共有体制(協議会等)を整備します。企業側に直接の義務が発生するのは主にこの柱です。
2. 通信情報の利用
攻撃の予兆を把握するため、政府が一定の条件下で通信情報(機械的な通信データ)を分析できる枠組みです。独立機関による事前承認など、通信の秘密への配慮を組み込んだ制度設計になっています。
3. アクセス・無害化措置
重大な攻撃の恐れがある場合に、警察・自衛隊が攻撃元のサーバー等にアクセスし無害化する権限です。報道で最も注目される部分ですが、実施主体は政府であり、一般企業が「反撃」できるようになる話ではありません。
4. 組織・体制の整備
司令塔として国家サイバー統括室(NCO)を中心とした体制を整備し、政府機関や重要インフラの対処能力を引き上げます。
施行スケジュール——2026年が実装の年
法律は2025年5月に成立・公布され、段階的に施行されます。現在示されている想定では以下の流れです(詳細は政省令で確定するため、最新の公表情報の確認が必要です)。
| 時期(想定) | 内容 |
|---|---|
| 2025年5月 | 法成立・公布 |
| 2026年前半 | 関連省令の公布、対象事業者・対象システムの具体化 |
| 2026年10月頃 | 本格施行。インシデント報告制度の開始(想定) |
| 2027年4月頃 | 特定重要電子計算機の資産届出の初回期限(想定) |
| 〜2027年 | 通信情報の利用・無害化措置を含む全面運用へ |
対象事業者にとって重要なのは、「どのシステムが特定重要電子計算機に該当するか」の見極めと届出準備を、報告制度の開始前に済ませる必要があることです。
中小企業への影響——「対象外だから無関係」ではない理由
影響1:サプライチェーン経由の要求強化
基幹インフラ事業者は、自社の重要システムだけでなく、それを支える委託先・部品供給元・保守ベンダーのセキュリティまで説明責任を負うことになります。結果として、
- セキュリティチェックシートの項目追加・厳格化
- インシデント発生時の取引先への通知義務を含む契約条項の追加
- 委託先のインシデント対応体制(連絡窓口・報告期限)の明文化要求
が、インフラ事業者と直接・間接に取引する中小企業に降りてきます。実際、重要インフラ分野では取引先選定時のセキュリティ評価がすでに強化される傾向にあり、この法律はその流れを決定的にします。
影響2:インシデント「即時報告」文化への適応
この法律の下では、対象事業者は重大インシデントを政府に迅速に報告する義務を負います。つまり取引先である中小企業がマルウェア感染や不正アクセスを起こした場合、「様子を見てから報告」は許されず、発生直後の第一報を求められる契約・運用が標準になっていきます。
「自社でインシデントに気づける体制(ログ・EDR・監視)」と「数時間以内に第一報を出せる連絡体制」がない企業は、サプライチェーンの中で選ばれにくくなります。
影響3:自社が「思いがけず対象側」になるケース
基幹インフラ事業者の指定範囲は政令で定められ、従来のサイバーセキュリティ関連制度より広がる方向です。地方の医療機関、物流、エネルギー関連の中堅企業など、「自社が大手だと思っていなかった企業」が対象または準対象の扱いを受ける可能性があります。該当業種の企業は、業界団体・所管省庁からの情報を必ず追ってください。
今から進めるべき準備
法律の直接対象でない中小企業も、以下の準備は「取引先からの要求への先回り」としてそのまま価値があります。
1. インシデント対応体制の文書化
- 緊急連絡網(社内・委託先・取引先・警察/IPA等の外部窓口)
- 「何が起きたら」「誰が」「いつまでに」「誰に」報告するかの基準
- 初動手順(ネットワーク隔離、証拠保全、被害範囲の確認)
精緻なCSIRT規程は不要です。A4数枚でも「即答できる文書がある」ことが重要です。
2. 検知能力の最低ライン確保
報告義務は「気づく能力」が前提です。EDRの導入、Microsoft 365 / Google Workspaceの監査ログ有効化と保全、不審ログインのアラート設定など、「侵害に気づける最低限の仕組み」を整えましょう。近年の被害事例と対策は「セキュリティインシデントの動向と対策」も参考にしてください。
3. 資産とデータの棚卸し
「自社のどのシステムが、どの取引先の重要業務につながっているか」を把握しておくと、チェックシートや契約交渉に即応できます。重要システムの届出制度はインフラ事業者側の義務ですが、その材料は委託先からも集められます。
4. 政府調達・セキュリティクリアランスとの関係を意識する
能動的サイバー防御法とほぼ同時期に、重要経済安保情報を扱うセキュリティ・クリアランス制度も動き出しています。政府関連・防衛関連・重要インフラ関連の商流に入りたい企業は、両制度をセットで捉えた体制整備が競争力になります(参考:「セキュリティクリアランス時代の証跡・監査ログ整備」)。
まとめ
- 能動的サイバー防御法(サイバー対処能力強化法)は2025年5月成立。官民連携(届出・報告義務)・通信情報の利用・無害化措置・体制整備の4本柱で、2026年中の本格施行が見込まれる
- 直接の義務を負うのは基幹インフラ事業者だが、サプライチェーンを通じてチェックシート厳格化・即時報告条項・対応体制の明文化要求が中小企業に波及する
- 中小企業の準備は(1)インシデント対応の文書化、(2)検知能力の最低ライン(EDR・監査ログ)、(3)資産棚卸し、(4)クリアランス制度も見据えた体制整備
- 政省令で詳細が確定していく段階のため、該当業種は所管省庁・業界団体の公表情報を継続的に確認する
情シス365では、中小企業向けのインシデント対応体制の整備(連絡網・初動手順の文書化、EDR・監査ログの導入設定)や、取引先セキュリティチェックシートへの対応支援を行っています。「取引先から急に厳しい要求が来た」「報告体制と言われても何から作ればいいか分からない」という方は、お気軽にご相談ください。