前編ではACD法の成立背景と法的枠組みを概観した。後編では、能動的防御を構成する「3本の矢」の詳細な運用メカニズムと、民間企業、特にサプライチェーン全体に及ぶ実務的な影響を解説する。2027年の完全運用に向け、企業経営層は何を準備すべきか。
能動的サイバー防御を支える「3本の矢」
ACDの実効性は、「情報共有の強化」「通信情報の活用と検知」「無害化措置」という3つの要素が有機的に機能することで確保される。
第1の矢は、情報共有の義務化だ。
従来、企業はレピュテーションリスク(評判被害)を懸念して被害を秘匿する傾向があった。しかし、一社の被害情報は他社への攻撃を防ぐための「早期警戒シグナル」となる。そこで本法では、指定された基幹インフラ事業者に対し、被害またはその予兆段階での報告を義務付けた。違反や是正措置に従わない場合には、200万円以下の罰金等の刑罰が科される。
第2の矢は、通信情報の活用と検知だ。捜査機関であっても令状なしには困難だった通信履歴の確認が、一定の条件下で可能となった。
大規模被害を防ぐという「公共の福祉」を優先しつつ、人間が通信内容を盗み見るのではなく、プログラムが攻撃用サーバーとの通信パターン(IPアドレス、頻度など)を自動解析する「機械的選別」に限定している点がポイント。また、サイバー対処能力強化法(強化法)により政府に協力する通信事業者は「正当な業務行為」と位置付けられ、プライバシー侵害等の訴訟リスクから保護される。
第3の矢は、無害化措置だ。サイバー対処能力整備法(整備法)に基づき、重大な事態においては攻撃を継続不能にするための実力行使が行われる。
具体的には、ボットネット(攻撃者に乗っ取られた機器群)の遠隔駆除、指令サーバー(C2サーバー)へのアクセス停止、ISPレベルでの通信遮断などだ。重要なのは、これが破壊や報復を目的とした「反撃」ではなく、被害拡大を食い止めるための「中和(Neutralization)」であり、あくまで行政・警察的措置の延長線上にあるという点である。
民間企業への影響 基幹インフラとサプライチェーン
ACD法は、特定の企業群に対して新たなコンプライアンス要件を課す。対象となるのは、経済安全保障推進法などで指定されている15業種の「基幹インフラ事業者」。情報通信(通信キャリア、ISP、データセンター)、金融(銀行、証券、決済代行)、電力・ガス、運輸(鉄道、航空、港湾)、医療、水道、放送などが含まれる。
| 分野 | 具体的な事業者例 | 想定される義務と影響 |
| 情報通信 | 通信キャリア、ISP、データセンター事業者 | 通信情報の提供、検知システムの導入、通信の遮断措置への協力 |
| 金融 | 銀行、証券、決済代行業者(クレジットカード) | 決済システムの停止防止、金融資産保護のための迅速なインシデント報告 |
| 電力・ガス | 発電・送配電事業者、都市ガス事業者 | 制御システム(OT)への攻撃予兆の監視と報告。供給停止リスクの最小化 |
| 運輸 | 鉄道、航空、空港運営会社、港湾運送業者、郵便 | 運行管理システムへの介入阻止。物流麻痺を防ぐための防御体制強化 |
| 医療 | 大規模病院、医薬品サプライヤー | 電子カルテシステムの保護、ランサムウェア被害時の即時報告 |
| 水道 | 水道局、浄水場運営受託企業 | 水質管理システムへの不正アクセス防止 |
| 放送 | テレビ放送局 | 「認知戦」への防衛拠点としての役割、情報汚染への耐性強化 |
本法において最も注目すべきは、「基幹インフラ事業者の委託先」への波及効果だ。法律上、インフラ事業者は自社の委託先に対しても同等のセキュリティ管理を求める義務を負う。
したがって、これらの企業と取引のあるSIer(システムインテグレーター)やクラウドベンダー、保守会社も実質的にACD法制の規制対象の一部となり、高い防御水準と迅速な情報提供体制の整備が不可欠となる。直接の指定を受けていない企業であっても、サプライチェーンの一員として無関係ではいられないのだ。
結論 能動的サイバー防御が拓く日本の未来
2025年の法制化、そして2026年現在の運用開始フェーズは、日本の国家安全保障における歴史的な転換点となった。この法律は決して「国民の監視」を目的としたものではない。むしろ、個々の組織では対処不可能な国家規模の脅威から、社会全体のデジタル資産を守るための「防波堤」なのだ。
賛否の鍵を握るのは、政府権限の適正な行使と、民間・国民との「信頼」という基盤。司令塔である国家サイバー統括室(NCO)は、技術的実装の高度化と、人権・プライバシーへの配慮という極めて繊細な舵取りを、今後永続的に求められることになる。
