「能動的サイバー防御」時代が到来！企業が備えるべき対策とは？

令和7年の「サイバー対処能力強化法」および「同整備法」の成立により、日本のサイバー安全保障は新たな局面を迎えました。政府が攻撃の兆候を検知し、未然に防ぐ「能動的サイバー防御」の導入に踏み切ったことは、民間企業のセキュリティ意識にも大きな影響を与えると考えられます。

一方で、政府が「前線の盾」となったとしても、100%の防御の防御を実現することは極めて困難です。このため、企業には突破されることを前提とした、「最後の砦」の構築が求められています。本記事では、そのための具体的な方策について説明します。

能動的サイバー防御とは？法制化の背景と概要

能動的サイバー防御とは、政府が攻撃の発生前に脅威を検知・分析し、攻撃元サーバ等の無害化まで行う取り組みのことです。これまでの日本はファイアウォールやウイルス対策ソフトで攻撃を受け止める「受動的防御」が中心でしたが、サイバー脅威の急拡大がその限界を露呈させました。

NICTの観測レポートによると、2024年のサイバー攻撃関連通信数は約6,862億パケットに達し、2015年の約632億パケットから10倍以上に増加しています。

参照：NICTER観測レポート2024の公開｜2025年｜NICT-情報通信研究機構

こうした情勢を受けて成立したのが、「サイバー対処能力強化法」および「同整備法」です。サイバー対処能力強化法は、以下の4本柱で構成されています。

1. 官民連携の強化

2. 通信情報の利用

3. アクセス・無害化措置

4. 組織・体制整備

政府はこれらの対策を通じて、「サイバー空間の安全かつ安定した利用、特に国や重要インフラ等の安全等を確保し、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上」させることを目指しています。

参照：サイバー安全保障に関する取組（能動的サイバー防御の実現に向けた検討など）｜内閣官房ホームページ

企業に直接影響する「官民連携の強化」の中身

4本柱のうち、民間企業への影響が最も大きいのが「官民連携の強化」です。ここではその概要と、企業やサプライチェーンへの影響について説明します。

基幹インフラ事業者への新たな義務

新法の直接的な義務対象は、経済安全保障推進法で指定された電気・ガス・金融など15業種・計257者（令和7年7月末時点）の基幹インフラ事業者です。

これらの事業者には「資産届出」（特定重要電子計算機の導入時に製品名等を事業所管大臣へ届出）と「インシデント報告」（サイバーセキュリティが害された場合等の政府への報告）が新たに義務付けられました。是正命令に従わない場合は200万円以下の罰金、資料提出の求めに応じない場合は30万円以下の罰金という罰則も設けられています。

一般企業・サプライチェーンへの波及

サイバー対処能力強化法に基づく「情報共有・対策のための協議会」には電子計算機等のベンダーも構成員として参加し、守秘義務を伴う被害防止情報の共有を受けられます。さらに、重要電子計算機に用いられる機器の脆弱性が確認された場合は、その供給者（生産者・輸入者・販売者・提供者）に対して政府から措置の要請が行われます。

加えて、基幹インフラ事業者にシステムを納入するITベンダーやSIerは、脆弱性対応について政府から直接要請を受ける可能性があり、それによってサプライチェーン全体でのセキュリティの底上げが図られます。

100%の防御は不可能：カギとなる「侵入前提」の考え方

国の制度整備と官民連携によって「前線の防御」は大幅に強化されますが、高度に組織化された攻撃を完全に防ぎきることは、現実として不可能です。今、企業に求められているのは、「侵入されても事業を止めない」回復力を確保することです。

高度化する攻撃手法の現実

インターネット上の攻撃者は、乗っ取った機器（踏み台）を何段にも重ねたボットネットを構築し、身元を隠しながら攻撃を仕掛けます。2024年に判明したVolt Typhoonの事例では、中国を背景とするサイバー攻撃集団が米国の軍施設や重要インフラに侵入を繰り返していました。

参照：サイバー安全保障分野での対応能力の向上に向けた有識者会議（資料6-6）｜内閣官房

国内でも、大阪急性期・総合医療センターをはじめとする医療機関へのランサムウェア攻撃、主要港である名古屋港へのランサムウェア攻撃など、生活や経済に直結する重要施設の被害が多発しています。

参照：データで紐解く、病院へのランサムウェア攻撃（2024年最新版） | トレンドマイクロ (JP)

参照：名古屋港の活動停止につながったランサムウェア攻撃～今一度考えるその影響と対策 | トレンドマイクロ

ランサムウェアをサービスとして提供するRaaS（Ransomware as a Service）の普及により、攻撃の裾野が広がっていることもあり、境界型防御（ファイアウォール、アンチウイルス）だけでは十分な対策とは言い切れない状況にあります。

「防御＋回復力」がこれからの企業戦略

能動的サイバー防御で政府が担うのは国家・重要インフラレベルの脅威排除であり、企業内部のデータ保全・復旧は企業自身の責任領域です。

企業にとってネットワーク監視やEDR等の「前線の防御」は引き続き不可欠ですが、それだけでは十分とはいえません。特にランサムウェアは本番データだけでなくバックアップまで暗号化を試みるケースがあり、「バックアップがあるから安心」とは言い切れなくなっています。

BCP（事業継続計画）の観点で、「やられても必ず復旧できる」仕組みの構築が急務です。

最後の砦としてのイミュータブルバックアップ

国の新制度やネットワーク防御ツールがサイバー攻撃に対する「盾」だとすれば、イミュータブルバックアップはデータを守る「最後の砦」です。前線が突破されても、改ざん不可能なバックアップから確実にデータを復元できる体制こそが、事業継続の成否を最終的に左右します。

イミュータブルストレージとは何か

イミュータブル（不変）ストレージとは、書き込んだデータを一定期間、管理者権限を持つユーザーであっても変更・削除できない仕組みです。ランサムウェアがバックアップまで暗号化しようとしても、イミュータブル状態のデータには手が出せません。

近年のランサムウェア脅威を受けて、バックアップ戦略としてこれまで提唱されてきた「3-2-1ルール」は、「3-2-1-1-0ルール」へと発展しています。追加された「1」はイミュータブルまたはオフラインのコピーを、「0」はリストアテストによるエラーゼロの検証を意味します。この「1」と「0」こそ、バックアップ自体が攻撃される時代に復旧の確実性を担保する要素です。

クラウドストレージで実現するイミュータブルバックアップ

イミュータブルのバックアップコピーを作成するには、クラウドストレージの活用が有効です。オンプレミスのみでDR環境を構築する場合と比べて、コストと運用負荷を大幅に抑えることができます。

ただし、多くのクラウドストレージでは復旧時に下り転送料やAPIリクエスト料が発生し、いざという場面でコストが膨らむケースが少なくありません。サービスを選定する際は、機能とコストをトータルで検討することが不可欠です。

Wasabi Hot Cloud Storageは、イミュータブル機能（オブジェクトロック）を標準搭載しつつ、下り転送料・API課金ともに不要なクラウドオブジェクトストレージです。S3 API互換でVeeam、Arcserve、Synology、QNAPなど主要なバックアップソフトやNAS製品と連携でき、既存環境に追加する形で導入できます。

（内部リンク）Wasabi Hot Cloud Storage

まとめ

能動的サイバー防御の法制化は、企業にとってもセキュリティ投資を見直す大きな契機です。官民連携の強化や通信情報の利用により前線の防御は着実に強化されますが、自社データを守る「最後の砦」は企業自身が用意しなければなりません。

イミュータブルバックアップは、ランサムウェア等の攻撃でシステムが侵害された場合でもデータの復元可能性を高める有効な手段です。Wasabi Hot Cloud Storageを活用すれば、低コストかつ導入負担の少ない形で、改ざん不可能なバックアップ環境を構築できます。国の制度整備が進む今こそ、自社の「守りの最終ライン」を点検してみてはいかがでしょうか。