国土強靱化は「物理的な災害」だけを相手にする時代ではなくなった。電力・水道・通信といった重要インフラを狙うサイバー攻撃は、地震や豪雨と並ぶ「事業継続を脅かす災害」として政策の中心に座りつつある。その転換点が、2026年10月1日に始動する「能動的サイバー防御」だ。本記事では、根拠となるサイバー対処能力強化法の中身と、建設業者・自治体担当者・中小企業経営者が押さえるべき実務ポイントを整理する。
1|サイバー対処能力強化法とは何か
2025年5月16日、参議院本会議で「サイバー対処能力強化法」と関連法を束ねた「整備法」が成立し、同年5月23日に公布された。正式名称は「重要電子計算機に対する不正な行為による被害の防止に関する法律」(令和7年法律第42号)である。一般には「能動的サイバー防御(ACD:Active Cyber Defense)」を実現するための法律として知られる。
※出典:内閣官房「サイバー安全保障に関する取組(能動的サイバー防御の実現に向けた検討など)」リンク
1-1 「検知して報告」から「止めに行く」への転換
従来の日本のサイバー防御は、攻撃を「検知して報告する」受け身の体制が基本だった。能動的サイバー防御はこの発想を転換し、被害が発生する前、あるいは被害の拡大を防ぐために、政府が能動的に対処することを可能にする。重要インフラがサイバー攻撃で停止すれば、国民生活と経済活動そのものが止まる——その認識が法整備の出発点にある。
1-2 法律の構成(強化法+整備法)
制度は2本立てで運用される。中心となる「サイバー対処能力強化法」が官民連携や報告制度の枠組みを定め、もう一方の「整備法」が警察官職務執行法や自衛隊法など関連法を改正して、政府による無害化措置の根拠を新設している。
※出典:衆議院調査局 RESEARCH BUREAU 論究 第22号「サイバー対処能力強化法及び同整備法について ―能動的サイバー防御の導入―」リンク
2|能動的サイバー防御「3つの柱」
能動的サイバー防御は、内閣官房が示す通り「官民連携の強化」「通信情報の利用」「攻撃者のサーバ等へのアクセス・無害化措置」の3つを取組の柱としている。
※出典:参議院常任委員会調査室・特別調査室「能動的サイバー防御の導入 ―サイバー対処能力強化法案及び整備法案の概要と主な論点―」リンク
2-1 柱その1:官民連携の強化
基幹インフラ事業者に対し、重要なシステム(特定重要電子計算機)の導入届出と、サイバー攻撃を受けた際のインシデント報告が義務づけられる。政府側も、民間事業者に必要な情報を提供する仕組みを整える。一方通行の「報告させる」制度ではなく、官民で情報を回す双方向の枠組みを志向している点が特徴だ。
2-2 柱その2:通信情報の利用
政府は、攻撃の予兆を把握するため、一定の通信情報を取得・分析できるようになる。海外を経由する通信などが対象で、その運用には独立機関である「サイバー通信情報監理委員会」の承認が必要とされる。憲法が保障する通信の秘密に配慮し、機械的なフィルタリングで内容に関わる情報を直ちに削除するなどの歯止めも設けられた。
通信情報の利用は、能動的サイバー防御のなかで最もプライバシー保護との緊張関係が大きい部分だ。国会審議でも論点となり、独立機関の承認という手続的な歯止めが組み込まれた。
2-3 柱その3:アクセス・無害化措置
整備法による警察官職務執行法の改正で、警察(および一定の場合は自衛隊)が、独立機関の承認を得たうえで攻撃元のサーバに侵入し、攻撃プログラムの停止・削除といった無害化措置を実施できる規定が新設された。これが文字どおりの「能動的」な防御であり、日本のサイバー政策における大きな転換点といえる。
※出典:内閣官房「サイバー安全保障に関する取組」リンク/参議院調査室「能動的サイバー防御の導入」リンク
3|2026年10月施行 — スケジュールと義務の中身
法律は段階的に施行される。資産届出・インシデント報告・協議会に関する制度は公布から1年6カ月以内とされ、想定施行日は2026年10月1日。これに先立つ詳細指針(重要電子計算機の範囲など)の公表が2026年5〜6月に予定されている。アクセス・無害化措置に関する規定も令和8年(2026年)11月までに施行することとされている。
※出典:日経クロステック「サイバー対処能力強化法が10月施行、取引先から排除のリスクも」リンク
3-1 対象は15業種257社の基幹インフラ事業者
直接の規制対象となる「基幹インフラ事業者」は、電力・ガス・水道・通信・金融・航空・物流など15業種257社とされる。これらの事業者には、特定重要電子計算機の届出とインシデント報告が法律上の義務として課される。
| 制度 | 主な内容 | 時期の目安 |
|---|---|---|
| 詳細指針の公表 | 重要電子計算機の範囲など | 2026年5〜6月 |
| インシデント報告・協議会 | 攻撃認知時の報告義務など | 2026年10月1日 |
| 資産(特定重要電子計算機)届出 | 初回届出 | 2027年4月1日 |
| アクセス・無害化措置 | 警察・自衛隊による無害化 | 2026年11月まで |
※出典:日経クロステック「サイバー対処能力強化法が10月施行、取引先から排除のリスクも」リンク
3-2 報告義務と罰則
基幹インフラ事業者は、特定重要電子計算機が不正アクセス等でサイバーセキュリティを害された事象を認知したときは、速やかな一報に加え、詳細な報告書の提出が求められる案となっている。届出義務やインシデント報告義務に違反し是正命令に従わない場合は200万円以下の罰金、資料提出などの求めに応じない場合は30万円以下の罰金が科され得る。
※出典:日経クロステック「サイバー対処能力強化法が10月施行、取引先から排除のリスクも」リンク
4|建設業・自治体・中小企業への波及
「うちは15業種に入っていないから関係ない」と考えるのは早計だ。この法律の影響は、直接の規制対象を超えてサプライチェーン全体に及ぶ。
4-1 受託する建設業者・ITベンダーへの契約上の波及
基幹インフラ事業者のシステム開発や運用保守を受託している建設・設備・ITの事業者は、法律上の義務者ではなくとも、契約上の義務として体制整備や報告対応を求められる可能性がある。インフラ更新工事を担う建設業者にとっては、施工管理システムや制御システム(OT)のセキュリティが発注条件に組み込まれる流れを想定しておくべきだ。
4-2 自治体担当者の論点 — 上下水道の運営主体として
水道は基幹インフラの一分野であり、その多くを運営するのは自治体や公営企業だ。能動的サイバー防御の枠組みのもとで、自治体は重要システムの管理・報告体制を整える主体になり得る。国土強靱化中期計画でも上下水道のライフライン強靱化に最大級の予算が配分されており、物理的な老朽化対策とサイバー防御の両輪で備える必要がある。
4-3 中小企業 — 「踏み台」にされないために
セキュリティ対策が手薄な中小企業や外注先を踏み台にして大企業を狙う「サプライチェーン攻撃」が急増している。IPA(情報処理推進機構)は2026年3月27日、「中小企業の情報セキュリティ対策ガイドライン」を第4.0版に改訂し、サプライチェーン全体に被害を及ぼす脅威を踏まえて記載を拡充した。能動的サイバー防御で重要インフラの守りが固まるほど、攻撃者の矛先は対策の弱い取引先へ向かう構図になる。
※出典:IPA「『中小企業の情報セキュリティ対策ガイドライン』第4.0版を公開」リンク
BCP(事業継続計画)の観点では、自然災害だけでなく「重要システムが止まる」サイバーシナリオも想定に加える時代になった。停止時の代替手段・連絡体制・復旧手順を、地震や水害と同じ粒度で備えておきたい。
5|まとめ
この記事のポイント
- 能動的サイバー防御の根拠法「サイバー対処能力強化法」は2025年5月16日成立・5月23日公布(令和7年法律第42号)。
- 「官民連携」「通信情報の利用」「アクセス・無害化措置」の3本柱で、受け身から能動への転換を図る。
- インシデント報告など中核制度は2026年10月1日施行、詳細指針の公表は2026年5〜6月、資産届出の初回は2027年4月1日。
- 直接の対象は15業種257社の基幹インフラ事業者だが、受託する建設業者・ITベンダー、上下水道を運営する自治体、踏み台にされやすい中小企業まで波及する。
- 義務違反には最大200万円以下の罰金。サイバーリスクをBCPに組み込み、自然災害と同列で備える発想が求められる。
WiZNAVIでは、国土強靱化・防災・BCP・補助金の最新政策動向を、建設業者・中小企業経営者・自治体担当者の実務目線で継続的に解説していきます。サイバー防御は今や「強靱化」の不可欠な一部です。自社・自組織がサプライチェーンのどこに位置するのかを起点に、2026年秋の施行に向けた備えを早めに進めていきましょう。
WiZNAVI 編集部
国土強靱化・防災ビジネスに特化した専門メディア「WiZNAVI」の編集チーム。政策動向、市場分析、補助金情報、導入事例など、ビジネスパーソンの意思決定に役立つ情報を配信しています。
