サイバーセキュリティ強化法とは？制定背景や企業が取り組むことも

2025.06.30

2025年５月に成立したサイバーセキュリティ強化法は、急増するサイバー攻撃から日本社会を守る転換点となる画期的な法制度です。制定背景には名古屋港の業務停止など深刻な被害事例があり、従来の受動的防御から能動的サイバー防御への変革が求められています。

特に基幹インフラ事業者は、サイバーセキュリティ強化法に準じた対策と報告が義務になります。サイバーセキュリティ強化法の制定背景や企業、また個人が取り組むことも、わかりやすく解説します。

サイバーセキュリティ強化法とは

日本の安全保障環境が大きく変化する中、サイバー空間における脅威は国家や社会インフラに深刻な影響を与える可能性が高まっています。2025年５月16日に成立した「サイバーセキュリティ強化法」は、従来の受動的な防御から能動的な防御へと転換する画期的な法制度として注目を集めています。

この法律は、国民生活や経済活動の基盤となる重要インフラをサイバー攻撃から守るため、政府と民間が一体となって対処する新たな枠組みを構築します。まずは、この法律の基本構造と仕組みを確認しましょう。

法律の正式名称と基本定義

サイバーセキュリティ強化法は、正式には、

「重要電子計算機に対する不正な行為による被害の防止に関する法律」（新法）
「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律」（整備法）

の２つの法律で構成されています。

この法律は、「能動的サイバー防御」という概念を中核に据えており、サイバー攻撃の被害が発生する前の段階から、その兆候に係る情報の収集を通じて探知し、攻撃の主体を特定するとともに、その排除のための措置を講ずることを目的としています。

従来のサイバーセキュリティ基本法が基本理念や体制整備を定めていたのに対し、この新法は具体的な行動権限と実施体制を規定した点が大きな特徴です。

法律の施行は段階的に行われ、新組織設置が公布から６か月以内、警察・自衛隊による措置が2026年頃、通信情報の取得が2027年頃を予定しており、全面施行は公布から１年６か月以内とされています。

能動的サイバー防御の三本柱

この法律が導入する能動的サイバー防御は、

官民連携の強化
通信情報の利用
アクセス・無害化措置

の三つの柱で構成されています。

【サイバーセキュリティ強化法の全体イメージ】

出典：内閣官房『サイバー対処能力強化法※1及び同整備法※2について』（2025年5月）p.6

①官民連携の強化

官民連携の強化では、基幹インフラ事業者※に対してサイバー攻撃のインシデント報告を義務化し、政府との間で「情報共有及び対策に関する協議会」を設置します。これまで任意だった情報共有が法的義務となることで、攻撃の早期発見と迅速な対応が可能になります。

また、電子計算機等の供給者に対する脆弱性対応の強化も盛り込まれており、製品レベルでのセキュリティ向上も図られます。

※基幹インフラ事業者

経済安全保障推進法に基づいて政府が指定した特定社会基盤事業者のことで、電気・ガス・鉄道・金融・通信など国民生活や経済活動の基盤となる15分野215社が対象となっている。具体的には東京電力パワーグリッドや関西電力送配電、東京ガスネットワーク、JR各社、主要銀行などが含まれ、これらの事業者がサイバー攻撃を受けると社会全体に深刻な影響を与える可能性がある。従来の重要インフラ事業者（14分野）とは別の概念として新たに定義されたもので、内閣府が所管し各事業分野の主務省庁（総務省、経済産業省、国土交通省など）が具体的な指定・監督を行っている。

【重要インフラ（全15分野）】

出典：内閣サイバーセキュリティセンター『「重要インフラのサイバーセキュリティに係る行動計画」の概要』（2024年）p.1

②通信情報の利用

通信情報の利用については、政府が基幹インフラ事業者等との協定に基づいて、通信情報を取得し、サイバー攻撃の実態把握と分析を行います。ここで取得される情報は、IPアドレスや通信量などの「機械的情報」に限定され、メールの本文など「コミュニケーションの本質的な内容」は対象外とされています。

この仕組みにより、憲法が保障する「通信の秘密」に配慮しながら、効果的な監視が実現されます。

③アクセス・無害化措置

アクセス・無害化措置では、警察や自衛隊が独立機関の承認を得て、攻撃元のサーバーに侵入し、攻撃プログラムの停止・削除などの無害化措置を実施できる権限が付与されます。これにより、攻撃を根本から断ち切ることが可能になり、被害の拡大防止と再発防止が期待されます。

独立監視機関による適正性確保

政府による通信情報の取得や無害化措置に対する懸念に応えるため、「サイバー通信情報監理委員会」という独立機関が設置されます。この委員会は委員長及び委員４人で構成され、両議院の同意を得て内閣総理大臣が任命する三条委員会として高い独立性を持ちます。

サイバー通信情報監理委員会は、政府による通信情報の取得に際しての、

事前審査・承認
継続的な検査
無害化措置の事前承認

などの権限を有し、その活動状況について国会に報告する義務を負います。これにより、政府の権限行使が適正に行われ、国民の権利が不当に侵害されることのないよう監視体制が構築されています。

サイバーセキュリティ強化法は、日本のサイバー対処能力を欧米主要国と同等以上に向上させる画期的な法制度です。この法律により、従来の「攻撃を受けた後に対応する」受動的な防御から、「攻撃の兆候を事前に察知し、被害が出る前に先手を打つ」能動的な防御への転換が実現されることになります。*1）

サイバーセキュリティ強化法が制定された背景

現代社会において、サイバー攻撃は国家安全保障上の重大な脅威となり、従来の防御的な対応では限界を迎えています。日本が直面する深刻なサイバー脅威の実態と、それらに対処するために能動的サイバー防御の導入が不可欠となった経緯について見ていきましょう。

サイバー攻撃の急激な増加と深刻化

サイバー攻撃の脅威は質・量両面で劇的に増大しており、もはや見過ごすことのできない水準に達しています。国立研究開発法人情報通信研究機構（NICT）の観測データによると、2024年に観測されたサイバー攻撃関連通信数は6,862億パケットに達し、各IPアドレスに対して約13秒に１回の攻撃が試みられている状況です。

これは2015年の632億パケットと比較して約10.8倍に増加しており、攻撃の頻度と規模が急激に拡大していることを示しています。

【サイバー攻撃関連通信数の推移】

また、令和５年中に観測されたサイバー攻撃関連通信の99%以上が海外から発信されており、国際的な脅威への対処が急務となっています。特に注目すべきは攻撃手法の変化で、従来の情報窃取や身代金要求型の攻撃から、重要インフラの機能停止を狙った攻撃へと手法が進化しています。

国内で発生した重大なサイバー攻撃事案

日本国内では、社会インフラや重要企業を標的とした深刻なサイバー攻撃が実際に発生し、その影響の大きさが改めて浮き彫りとなりました。

名古屋港へのランサムウェア攻撃

2023年７月には、日本最大の港湾である名古屋港がランサムウェア攻撃※を受け、コンテナターミナルの運営に重大な影響が発生しました。この攻撃により名古屋港統一ターミナルシステムが機能停止し、トレーラーによるコンテナの搬出入作業が終日中止される事態となりました。

※ランサムウェア攻撃

コンピュータやシステムに侵入して重要なデータを暗号化し、その復号と引き換えに身代金を要求するサイバー犯罪の一種。「ランサム（身代金）」と「ソフトウェア」を組み合わせた造語で、近年は単なるデータ暗号化だけでなく、情報窃取と公開を脅す「二重恐喝」の手法も増加している。主な感染経路はフィッシングメールやVPN機器の脆弱性を悪用したもので、名古屋港や大阪急性期・総合医療センターなど社会インフラへの被害事例も多数報告されている。警察庁はランサムウェア被害に遭った場合、身代金支払いを避け、直ちにネットワークから隔離して通報するよう呼びかけている。

大阪急性期・総合医療センターへのランサムウェア攻撃

2022年10月には、大阪急性期・総合医療センターがランサムウェア攻撃の被害に遭い、電子カルテなどが暗号化され、外来診療や各種検査の停止を余儀なくされました。病床数が800超に及ぶ大型病院での攻撃により、地域医療に深刻な影響が生じ、システムの全面復旧まで２カ月を要しました。

国際情勢の変化とサイバー戦争の現実化

2022年のロシアによるウクライナ侵攻は、サイバー攻撃が戦争の手段として本格的に活用される現実を世界に示しました。この侵攻では、通常の武力攻撃とサイバー攻撃が表裏一体となって繰り広げられ、「第５の戦場」であるサイバー空間での攻防が重要な役割を果たしました。

ロシアのサイバー攻撃は軍事侵攻の１か月以上前から始まっており、侵攻当日の２月24日午前２時には、軍事侵攻開始の３時間前に衛星通信網の基地局システムが破壊されました。このサイバー攻撃により、ウクライナの大規模な通信網を持つ衛星が１か月以上使用できなくなりました。

欧米主要国との格差と法制化の必要性

欧米主要国は、日本に先駆けて能動的サイバー防御に関する法制度を整備し、実際の運用を開始しています。アメリカは2024年にボットネットワークに対する無害化措置※を実施し、カナダは2019年以降、政府ネットワークからの情報窃取防止目的で攻撃者の海外サーバに対する無害化措置を継続的に実施しています。

※ボットネットワークに対する無害化措置

マルウェアに感染した複数のコンピューターで構成されるネットワーク（ボットネット）を停止・破壊するための対処行動を指す。具体的には、ボットネットを制御するC&Cサーバー（コマンド＆コントロールサーバー）への侵入や停止、感染端末からのマルウェア削除、再感染防止措置など。こうした措置は警察庁やFBI、欧州刑事警察機構（Europol）などの国際的な法執行機関が連携して実施することが多く、日本でも警察庁が類似の対策を行っている。

通信情報の利用についても、イギリスは2016年に調査権限法を制定し、ドイツは2016年に連邦情報局法を改正するなど、主要国は国家安全保障等の目的のために外国関係の通信情報を利用する体制を整備しています。

こうした深刻な脅威の増大と国際的な動向を踏まえ、2022年12月に閣議決定された国家安全保障戦略では、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるとの目標が掲げられ、能動的サイバー防御の導入が国家的な課題として位置づけられました。これを受けて2024年6月から有識者会議での検討が開始され、最終的に2025年５月16日のサイバーセキュリティ強化法の成立に至ったのです。*2）

サイバーセキュリティ強化法に対して企業は何をすべきか

サイバーセキュリティ強化法の成立により、企業は従来の「守られる側」から「積極的に対策を講じる側」へと立場が大きく変化しました。法律の直接的な規制対象となる基幹インフラ事業者はもちろん、中小企業を含むすべての事業者が新たな責任と機会に直面しています。

法律の直接的な影響を受ける企業の範囲

サイバーセキュリティ強化法が直接的な規制対象とするのは、経済安全保障推進法に基づいて指定された基幹インフラ事業者215社です。基幹インフラ事業者は、サイバー攻撃のインシデント報告の義務化により、攻撃を受けた際の政府への報告が法的義務となります。

また、導入製品の届出義務化によって、サイバーセキュリティに影響を及ぼす恐れのある機器を導入する際は、事前に政府への届出が必要になります。さらに、政府との間で「情報共有及び対策に関する協議会」への参加が求められ、守秘義務を伴う機密情報の共有や必要な資料提出にも応じる必要があります。

これらの対象企業では、専門的な知識を持つ人材の確保や、政府との連携体制の構築、インシデント対応手順の見直しなど、組織的な対応体制の整備が急務です。

サプライチェーンを通じた影響の拡大

サイバーセキュリティ強化法の影響は、直接的な規制対象となる基幹インフラ事業者だけにとどまりません。現代のビジネス環境では、一つの企業がサイバー攻撃を受けると、その影響が取引先企業にも連鎖的に拡大する「サイバードミノ」現象が深刻化しています。

実際に、独立行政法人情報処理推進機構（IPA）が実施した調査によると、約７割の中小企業が組織的なセキュリティ体制を整備しておらず、過去３年間にサイバー攻撃を受けた企業の約７割が取引先にも影響を及ぼしたことが明らかになっています。この現象により、一社の被害が連鎖的に拡大し、大企業の操業停止に至るケースも報告されています。

【サイバードミノ】

中小企業が取り組むべき具体的な対策

中小企業にとっても、サイバーセキュリティ対策は単なるコスト負担ではなく、ビジネス機会の創出と企業価値向上につながる重要な投資であることが明らかになっています。IPAの調査では、サイバーセキュリティ対策に投資している企業の約５割が取引の拡大につながったと実感しており、対策がビジネス上のメリットにもなっています。

SECURITY ACTION

中小企業が最初に取り組むべきは、独立行政法人情報処理推進機構（IPA）が推進する「SECURITY ACTION」制度への参加です。この制度は中小企業が情報セキュリティ対策に取り組むことを自己宣言するもので、まずは最低限の取り組みを行い「一つ星」の自己宣言から始めることが推奨されています。

具体的な対策として、

ウイルス対策ソフトの導入
定期的なソフトウェアの更新
従業員への教育訓練
バックアップ体制の構築

などの基本的な技術的対策に加えて、組織的な対策も重要です。経営層のリーダーシップのもと、

情報セキュリティポリシーの策定
担当者の明確化
リスクの優先順位を明確
インシデント対応手順の整備

などを段階的に進めることが必要です。各業界団体が発行するガイドラインや指針を参考にしながら、情報セキュリティの専門家への相談を積極的に活用することも効果的なアプローチです。

サイバーセキュリティ強化法の成立は、企業規模に関わらず、すべての事業者にとってセキュリティ対策の重要性を再認識する機会となります。基幹インフラ事業者は法的義務として、中小企業は自社のサイバー防御だけでなく競争力強化の手段として、それぞれの立場に応じた積極的な取り組みが求められています。*3）

サイバーセキュリティ強化法は個人にも関係がある？

あなたの身近な生活や仕事にも、サイバー攻撃の脅威は潜んでいます。「自分には関係ない」と思わず、今すぐできる防御策を知ることが大切です。

誰でも簡単に始められる対策や、基礎的な知識を身につけることで、大きな被害を未然に防ぐことができます。

個人を狙うサイバー攻撃の深刻な現実

現在、日本では個人を標的としたサイバー攻撃が急激に増加しており、その被害規模は看過できない水準に達しています。特に深刻なのは、SNSを通じた犯罪被害です。

SNSを利用して犯罪被害に遭った子どもの数は年間2,000件前後で推移しており、被害に遭った子どもがSNSにアクセスする際に利用した端末については、スマートフォンが97.5％を占めています。

フィッシング詐欺※の被害も拡大しており、クレジットカード番号盗用の被害額は2023年に504.7億円と過去最多を記録しました。

【フィッシング報告件数及びインターネットバンキングに係る不正送金被害額】

出典：警視庁『令和６年におけるサイバー空間をめぐる脅威の情勢等について』（2025年3月）p.13

基本的なセキュリティ対策から始める安全な環境作り

個人でも実践できる効果的なセキュリティ対策は、決して複雑ではありません。警視庁も推奨する基本的な対策として、まずはID・パスワードの管理を徹底しましょう。

異なるサイトで同じパスワードを使い回すと、一つのID・パスワードが漏れた場合に他のサイトにも侵入される危険があるため、それぞれ違うものに変更することが必要です。

また、使用しているOS（オペレーティングシステム）のアップデートも重要な対策の一つです。OSの脆弱性を修正するソフトが随時公開されているため、こまめにアップデートしてセキュリティレベルを上げておくことが大切です。

近年、主要ブラウザにはAIによる脅威検知や強化されたフィッシング対策、追跡防止などの高度なセキュリティ機能が搭載されています。ChromeやEdge、Safariでは「設定」から「プライバシーとセキュリティ」を開き、「セーフブラウジング」や「トラッキング防止」などを有効にするだけで、危険なサイトや不正なアクセスから身を守ることができます。

家族全体で取り組むデジタルリテラシーの向上

サイバーセキュリティは個人だけでなく、家族全体で取り組むべき課題です。スマートフォンを利用している子どもの割合は、10歳以上の小学生で約６割超、高校生では９割以上に達しています。つまり、子どもたちがインターネットの危険にさらされる機会が急速に拡大しているのです。

重要なのは、子どもたちをインターネットから遠ざけるのではなく、その有用さと怖さを学び、賢く付き合うことです。生まれたときから身近に携帯電話やインターネットがあった世代であっても、インターネットの世界で守らなければならないルールや人と人とが付き合う上でのマナーについて十分な経験や知恵を備えているとは限りません。

現代社会では、個人もサイバー攻撃の標的となっており、その被害は金銭的損失から個人情報の流出まで多岐にわたります。子供から大人まで、ほとんどの人が今や日常生活でスマートフォンやパソコンを使います。適切な知識と対策を身につけることで、自分自身と家族を守ることを心がけましょう。*4）

サイバーセキュリティ強化法とSDGs

サイバーセキュリティ強化法による能動的サイバー防御は、デジタル技術の健全な発展と安全な活用環境を保障し、SDGs達成に向けた様々な取り組みを支える基盤整備として機能します。サイバー攻撃による社会インフラの機能停止や経済活動の阻害を防ぐことで、持続可能な発展への道筋を確実なものにしています。

関連の深いSDGs目標を見ていきましょう。

SDGs目標4：質の高い教育をみんなに

デジタル格差の解消は、教育機会の平等化において極めて重要な課題です。ICT教育の地域格差により、生徒たちが適切なデジタル教育を受ける機会に差が生まれ、将来的なキャリア構築の機会も不均衡になっています。

文部科学省の調査では、教育機関における情報セキュリティポリシーの策定率は、地方自治体によって大きなばらつきがあります。サイバーセキュリティ強化法による安全なデジタル環境の構築は、すべての地域で安心してICT教育を実施できる基盤を提供し、教育の質向上と機会均等に直接貢献します。

SDGs目標8：働きがいも経済成長も

サイバー攻撃は企業の経済活動に深刻な影響を与え、持続可能な経済成長を阻害しています。2017年にサイバー犯罪により生じた全世界のコストは6,080億ドルに達し、日本国内では情報流出等を公表した企業の株価が平均10%下落、純利益が平均21%減少したという報告があります。

【セキュリティ事故適時開示後の株価と純利益の変化】

出典：総務省『第1部　特集　進化するデジタル経済とその先にあるSociety 5.0 第3節 ICTの新たな潮流（2）サイバー攻撃等の経済的損失』（2019年）

また、テレワーク導入企業の32%が情報漏えい事案を経験し、生産性低下の主要因となっています。サイバーセキュリティ強化法により、政府と企業の情報共有体制が強化され、安全なデジタル労働環境の基盤が形成されることで、働き方の多様化と経済発展の両立が実現されます。

SDGs目標9：産業と技術革新の基盤をつくろう

デジタル社会の基盤は、サイバーセキュリティによって守られています。安心して活用できるITインフラがなければ、革新的な技術の開発も産業の発展も望めません。

レジリエントなインフラ構築において、サイバーセキュリティは核心的な役割を果たします。IoT導入が進む中で、強靭なサイバー防御体制はスマート工場やデジタルサプライチェーンの持続的運用を可能にし、産業の技術革新を安全に推進する土台となります。

サイバーセキュリティは単なるITの問題ではなく、教育、経済、産業の基盤を支える「持続可能な社会」の要です。SDGsの達成には、安全なデジタル環境の構築が欠かせないのです。*5）

>>SDGsに関する詳しい記事はこちらから

まとめ

サイバーセキュリティ強化法は、日本が従来の受動的防御から能動的サイバー防御へと転換する画期的な法制度です。

官民連携の強化
通信情報の利用
アクセス・無害化措置

の三本柱により、欧米主要国と同等以上のサイバー対処能力の構築を目指しています。

2025年第１四半期の統計では、グローバルなサイバー攻撃が前年比47%増加し、特に日本を標的とした新種メール攻撃の割合が84%に急増しました。これは、この法制度の重要性を裏付けています。

世界経済フォーラムが指摘する「サイバー空間の複雑性」は、地政学的混乱とサイバー技術の進歩により一層深刻化が進み、小規模組織におけるサイバーレジリエンス不足は2022年の７倍に達しています。

この現実は、先進国と新興国、大企業と中小企業、都市部と地方の間で拡大するデジタル格差の中で、すべての人々が等しくサイバー脅威に直面していることを意味します。文化や経済状況に関わらず、デジタル社会への参加はもはや選択ではなくなっています。

私たち一人ひとりに求められるのは、基本的なセキュリティ対策の実践から始まり、家庭や職場でのデジタルリテラシー向上です。あなたは、安全なデジタル社会の実現に向けて、どのような役割を果たしていけるでしょうか？

小さな一歩でも、それが集まれば大きな変化となります。デジタル社会の恩恵を誰もが安心して享受できる未来を、私たちの手で築いていきましょう。*6）

この記事を書いた人

松本淳和ライター

生物多様性、生物の循環、人々の暮らしを守りたい生物学研究室所属の博物館職員。正しい選択のための確実な情報を提供します。趣味は植物の栽培と生き物の飼育。無駄のない快適な生活を追求。

前の記事へ次の記事へ