能動的サイバー防御関連法と実務上の影響

2025年5月16日、国や重要インフラ等に対するサイバー攻撃の脅威に対応するための「能動的サイバー防御」に関連する法律（以下「能動的サイバー防御法」）が成立し、5月23日に公布された。能動的サイバー防御法は、一部の例外を除き、公布日から起算して1年6か月以内に施行される。

能動的サイバー防御法は以下の4つの柱によって構成されている。
• 官民連携の強化（政府と民間事業者との間の情報共有、脆弱性対応の強化等）
• 通信情報の利用（政府による通信情報の取得・分析等）
• 攻撃者のサーバ等へのアクセス・無害化
• 組織・体制整備

上記4つの柱のうち、特に民間事業者に対する影響が大きいのは「官民連携の強化」と「通信情報の利用」に関する義務である。能動的サイバー防御法に基づくこれらの新たな義務によって、今後対応が必要になると考えられるのは以下の事業者である。
• 基幹インフラ事業者
• 電気通信事業者
• ITベンダー（基幹インフラ事業者がインフラサービスの運用や提供のために用いるシステムに関連する事業者等を含む）

本アラートでは各事業者が取るべき主な対応について概説する。