日本の新たなサイバー・ドクトリン：2025年国家サイバーセキュリティ戦略と能動的防御への転換に関する詳細分析

エグゼクティブ・サマリー

本報告書は、日本政府が年内に策定を目指す新たな国家サイバーセキュリティ戦略について、その戦略的背景、法的・組織的枠組み、政策の核心、そしてこの歴史的転換が内包する重大な課題を包括的に分析するものである。この新戦略は、単なる政策の更新ではなく、戦後の日本の安全保障政策における最も重要な変革の一つと位置づけられる。深刻化する脅威環境、特に国家を背景に持つ攻撃者による重要インフラやサプライチェーンを標的とした破壊的なサイバー攻撃の急増を受け、日本は従来の受動的な「防御」から、脅威を未然に無害化する「能動的サイバー防御」へと、その基本ドクトリンを根本的に転換する ¹。

この戦略的転換を支える法的・組織的基盤として、2025年5月に成立した「サイバー対処能力強化法」と、同年7月1日に発足した「国家サイバー統括室（NCO）」が挙げられる ⁴。サイバー対処能力強化法は、政府が脅威検知のために通信情報を利用し、攻撃者のサーバーにアクセスして無害化措置を講じるという、従来は法的根拠が曖昧であった活動に明確な権限を付与する。一方、国家サイバー統括室は、内閣総理大臣を本部長とするサイバーセキュリティ戦略本部の事務局として、政府全体のサイバー対策を一元的に指揮・調整する強力な司令塔機能を担う ⁴。

しかし、この野心的な戦略の実現には、深刻な課題が山積している。最大の障壁は、日本国憲法第21条が保障する「通信の秘密」と、能動的サイバー防御に不可欠な通信監視との間に生じる法的・憲法上の緊張関係である ⁶。政府は「公共の福祉」を根拠にその正当性を主張するが、国民の権利を保護するための厳格なガバナンスと透明性の確保が、戦略の成否を左右する極めて重要な要素となる。さらに、高度な戦略を遂行するために不可欠な専門人材の深刻な不足、そして国内サイバーセキュリティ産業の技術的脆弱性も、戦略の実効性を脅かす根本的な制約要因として存在する ¹。

本報告書は、これらの多層的な要素を詳細に分析し、日本の新たなサイバー・ドクトリンが国家の安全保障、経済、そして社会全体に与える影響を深く考察するものである。

第I部：脅威環境の進化と変革への要請

1.1 日本に対するサイバー脅威の激化

日本の新たなサイバーセキュリティ戦略策定の直接的な引き金となったのは、サイバー攻撃の頻度、巧妙さ、そして社会的影響の劇的な増大である。近年の攻撃は、単なる情報窃取や金銭目的の犯罪に留まらず、国家の基幹機能や国民生活を直接麻痺させることを意図した、より破壊的な性質を帯び始めている。

その象徴的な事例として、重要インフラおよびサプライチェーンを標的とした攻撃が挙げられる。2022年3月には、大手自動車メーカーの取引先がランサムウェア攻撃を受け、国内全工場の稼働が一時停止に追い込まれる事態が発生した ¹。これは、サイバー攻撃が物理的な生産活動に直接的な打撃を与え、一企業の枠を超えて国家経済に影響を及ぼし得ることを明確に示した。同様に、2022年10月には病院が給食委託事業者を経由したサイバー攻撃を受け、通常診療を一時停止せざるを得なくなるなど、国民の生命と健康に直結するサービスが脅威に晒されている ¹。さらに、2024年から2025年初頭にかけては、航空事業者、金融機関、通信事業者などが相次いでDDoS攻撃を受け、サービス提供に支障が生じるなど、社会インフラ全体が攻撃対象となっている実態が浮き彫りになった ¹。

これらの事案は、攻撃手法の変化を物語っている。有識者会議では、近年の攻撃が情報窃取型からシステムを停止させる破壊型へと「ゲームチェンジ」が起きていると指摘されており、その発生頻度は自然災害とは比較にならないほど高い ¹⁰。攻撃者は、システムの脆弱性を突くだけでなく、正規ツールを悪用して内部に潜伏し、検知を回避する「Living Off The Land（LotL）」戦術のような高度な手法を駆使している ³。これにより、従来の境界型防御モデルでは対応が困難になっている。

政府機関自身も例外ではなく、サイバーセキュリティ政策の中枢である内閣サイバーセキュリティセンター（NISC）が不正アクセスを受けるという事案も発生しており、これは既存の防御体制の脆弱性を露呈させる深刻な出来事であった ¹²。

これらの複合的な脅威の増大は、サイバーセキュリティがもはや単なるIT部門の技術的課題ではなく、国家の経済活動の継続性と社会全体のレジリエンス（強靭性）を左右する、危機管理上の最重要課題であることを示している。この認識の変化こそが、従来の受動的な対策から、より積極的かつ包括的な新戦略への転換を不可避なものとした根源的な動因である。

1.2 国家が関与する攻撃主体と安全保障の次元

新戦略の策定背景には、地政学的な文脈、すなわち国家が支援する攻撃主体によるサイバー攻撃の常態化がある。これらの攻撃は、単なる犯罪行為ではなく、国家の戦略的目標を達成するための手段として用いられており、サイバー空間は国家間の競争が行われる主要な領域へと変貌した。

日本政府の公式文書は、この脅威認識を明確に示している。現行のサイバーセキュリティ戦略や関連資料では、中国、ロシア、北朝鮮からの脅威が名指しで言及されており、これらの国々が日本の安全保障や外交政策におけるサイバー分野の優先度を高める要因となっている ¹³。特に、中国の関与が疑われる攻撃グループ「MirrorFace」が、日本の安全保障や先端技術に関する情報を狙った攻撃キャンペーンを継続的に実行していることが指摘されている ¹。

これらの国家関与が疑われる攻撃は、その目的と手法において極めて戦略的である。例えば、防衛産業や先端技術分野からの知的財産窃取は、攻撃国の軍事力近代化や経済的優位性の確保に直結する ¹。また、重要インフラへの攻撃は、有事における社会機能の麻痺を狙った準備活動や、平時における「グレーゾーン事態」での威嚇・強制の手段として利用される可能性がある ⁵。北朝鮮による暗号資産の窃取が弾道ミサイル開発の資金源になっているとの指摘もあり、サイバー攻撃が伝統的な安全保障上の脅威と直接的に結びついている実態も明らかになっている ¹⁵。

このような状況認識から、政府はサイバーセキュリティを国家安全保障の中核に据えることを決定した。2022年12月に閣議決定された「国家安全保障戦略」では、サイバー安全保障分野での対応能力を「欧米主要国と同等以上に向上させる」という明確な目標が掲げられ、そのための具体的な手段として「能動的サイバー防御」の導入が明記された ⁵。これは、サイバーセキュリティ政策が、従来のIT政策や法執行の枠組みから、国家防衛戦略の一環として再定義されたことを意味する。

結論として、日本の新戦略は、サイバー空間が国家による戦略的利益追求の場と化したという厳しい現実認識に基づいている。それは、技術的な防御能力の向上に留まらず、21世紀の地政学的競争において、日本の国益と主権をデジタル領域でいかに防衛するかという、国家戦略レベルでの問いに対する包括的な回答なのである。

第II部：新たな国家防衛態勢の構築：法的・組織的刷新

2.1 「サイバー対処能力強化法」の制定

日本のサイバーセキュリティ政策の歴史的転換を法的に裏付けるのが、2025年5月に成立した「重要電子計算機に対する不正な行為による被害の防止に関する法律」、通称「サイバー対処能力強化法」である ⁵。この法律は、従来のサイバーセキュリティ基本法が前提としていた、主に自主的な取り組みを促すアプローチから脱却し、国家がより直接的かつ強制力を伴う形でサイバー脅威に対処するための、全く新しい法的基盤を構築するものである。

同法の核心は、以下の三つの柱から構成される能動的サイバー防御の実現にある ¹⁶。

1. 官民連携の強化: これまでの任意ベースの情報共有を制度化し、重要インフラ事業者などがサイバー攻撃を受けた場合、政府への報告を義務付ける。さらに、政府は脅威情報を事業者へ提供し、対処調整や支援を行う。これにより、官民が一体となった防御体制を構築する。

2. 通信情報の利用: 政府が、国内の通信事業者が提供する通信に係る情報を活用し、攻撃に悪用される可能性のあるサーバー等を検知することを可能にする。これは、脅威の予兆を早期に発見するための情報収集能力を抜本的に強化する措置である。

3. アクセス・無害化措置: 国や重要インフラに対する重大なサイバー攻撃の恐れがある場合、政府が必要な権限に基づき、攻撃者のサーバー等に侵入し、マルウェアの除去など脅威を無害化する措置を講じることを認める。

この法律は、民間企業、特に15分野にわたる重要インフラ事業者とそのサプライヤーに対して、新たな法的義務を課すものである ¹⁶。事業者は、サイバーセキュリティ侵害の発生またはその兆候が見られる場合、所管大臣および内閣総理大臣への報告が求められる。また、特定重要設備の導入にあたっては、その製品名等を届け出る義務も生じる ¹⁸。

本法の最大の意義は、これまで法的にグレーゾーンであったり、不正アクセス禁止法等に抵触する可能性があったりした政府の活動、すなわち能動的な脅威ハンティングや攻撃インフラの無力化に、明確な法的根拠を与えた点にある ⁷。従来の受動的な防御では対応しきれない巧妙な攻撃に対し、国家として先制的かつ実効的な対抗策を講じるための法的ツールキットを整備したと言える。

この法律は、単なる既存法の改正ではなく、サイバー空間における国家の権限、民間事業者の責任、そして個人の権利の間の関係性を再定義する、基礎的な法制度の再構築である。これにより、「能動的サイバー防御」という戦略構想は、初めて具体的な実行可能性を持つことになった。この法律なくして、新戦略の核心部分は実現不可能であり、まさに日本のサイバー防衛の新たな時代の幕開けを告げる法的礎石なのである。

2.2 国家サイバー統括室（NCO）：新たな司令塔

新戦略を実効的に推進するための中核組織として、2025年7月1日に「国家サイバー統括室（National Cybersecurity Office, NCO）」が内閣官房に設置された ²⁰。これは、従来の内閣サイバーセキュリティセンター（NISC）を発展的に改組したものであり、その権限と機能は大幅に強化されている ¹。

NCOの設立は、日本のサイバーセキュリティガバナンスが、従来の「調整・企画」モデルから「指揮・統制」モデルへと質的に転換したことを象徴している。その主な特徴は以下の通りである。

• 権限の格上げ: NCOが事務局を務める「サイバーセキュリティ戦略本部」は、本部長がこれまでの内閣官房長官から内閣総理大臣へと格上げされ、全閣僚が構成員となった ⁴。これにより、サイバーセキュリティに関する意思決定は、総理大臣直轄の最高レベルで行われることになり、省庁横断的な強力なリーダーシップの発揮が可能となる ²¹。

• 強力なリーダーシップ: NCOのトップには、新たに設けられた事務次官級のポストである「内閣サイバー官」が就任する ⁴。これは、政府内におけるNCOの地位と重要性を明確に示すものである。

• 明確な司令塔機能: NCOの任務は、政府全体のサイバーセキュリティに関する施策を一元的に企画立案し、総合調整を行う「強力な司令塔機能」を担うことである ⁴。これには、能動的サイバー防御の実施に関する総合調整、重要インフラ防護の強化、国内外からの脅威情報の収集・分析などが含まれる。警察や自衛隊が実施する無害化措置など、複数の省庁にまたがる実働的な作戦の調整もNCOが担う ⁴。

NISCからNCOへの改組は、能動的サイバー防御という新たなドクトリンを遂行するための必然的な組織改革であった。リアルタイムでの脅威分析、迅速な意思決定、そして複数の実動部隊（警察、自衛隊など）を連携させた作戦の実行は、調整を主眼とした従来のNISCの組織体制では困難であった。総理大臣の直接的な指揮下で、強力な権限を持つNCOが作戦全体を統括する体制は、こうした実働的な要求に応えるために設計されている。

このように、サイバー対処能力強化法が新戦略の「法的エンジン」であるとすれば、NCOはその戦略を実行するための「組織的エンジン」である。この法的・組織的な両輪の刷新が一体となって、日本のサイバー防衛態勢を根本から変革するのである。

表1：日本のサイバーセキュリティ・ガバナンスの進化（NISC 対 NCO）

第III部：新国家戦略の中核的支柱

3.1 重要インフラの防護

新戦略における最優先課題の一つが、国民生活と経済活動の基盤である15分野の重要インフラの防護である ¹⁶。近年の攻撃がインフラ機能を直接停止させる破壊型へと移行していることを受け、政府は従来のセクターごとの自主的な対策を促すモデルから、国家がより直接的に関与する、脅威ベースかつエコシステム全体を対象とした防護モデルへと大きく舵を切った。

この新たなアプローチの核心は、官民連携の質的な転換にある。これまでの任意での情報共有に加え、攻撃の恐れがある場合には、事業者が政府と結んだ協定に基づき、政府が通信情報を取得・監視することが可能になる ⁴。これは、政府が脅威の芽を早期に摘み取るための「脅威ハンティング」を、民間が運営するインフラ上で行うことを意味し、国家が民間インフラの「共同防衛者」としての役割を担うことを示している。

さらに、政府は分野横断的な新たな安全基準の策定を進めている。2026年度までに、重要インフラ事業者等が分野横断的に実施すべき対策に係る新たな基準を策定する方針であり、その検討は内閣サイバー官を議長とする新たな会議体で進められる ⁴。これにより、各分野でばらつきがあった対策レベルの底上げと標準化を図り、国全体のレジリエンスを向上させる狙いがある。

サプライチェーン全体でのレジリエンス強化も重要な柱である。過去の事例が示すように、攻撃はセキュリティ対策が手薄なサプライチェーン上の委託先や取引先を経由して行われることが多い ¹。新戦略では、インフラ事業者本体だけでなく、重要インフラに機器やシステムを供給するベンダーに対しても、セキュアな設計・開発や継続的な情報提供を求めるなど、サプライチェーン全体を視野に入れた対策が強化される ¹⁸。

また、リソースが限られる地方の小規模自治体や医療機関など、これまで対策が遅れがちであった主体に対する支援の推進も明記されており、社会全体でセキュリティの底上げを図る「誰も取り残さない」アプローチが志向されている ¹。

この一連の施策は、重要インフラ防護のパラダイムシフトを意味する。それは、コンプライアンス遵守を目的とした静的な防護から、国家が主導して脅威を能動的に探索・排除する動的な防護への転換である。国家は規制者であると同時に、民間インフラを防衛する作戦主体となり、その見返りとして、より深いレベルでの情報アクセスと監督権限を得るという、新たな官民関係の構築を目指している。

3.2 サイバーセキュリティ産業振興戦略

日本の新たなサイバー防衛態勢は、それを支える強固な国内産業基盤なくしては成り立たない。この認識に基づき、経済産業省は、国家安全保障と経済成長の両面から国内サイバーセキュリティ産業を育成するための包括的な産業政策「サイバーセキュリティ産業振興戦略」を策定した ²⁵。

この戦略の背景には、日本のサイバーセキュリティ市場が海外製品に大きく依存しているという深刻な問題意識がある。この「悪循環」は、国内企業の開発投資意欲を削ぎ、技術革新を停滞させ、結果として安全保障上の脆弱性、いわゆる「デジタル赤字」を生み出している ²⁵。この構造的課題を打破し、重要な安全保障領域における「技術主権」を確立することが、本戦略の究極的な目標である。

そのための具体的な目標として、10年以内に国内サイバーセキュリティ産業の売上高を、現在の約0.9兆円から3倍超の約3兆円以上に拡大するという野心的な数値目標が掲げられた ²⁵。

この目標達成に向け、以下の三つの主要な取り組みが推進される。

1. 政府調達による市場創出: 政府機関等が、有望な国内スタートアップ企業の製品・サービスを試験的に活用する「スタートアップ技術提案評価方式」などを通じ、初期の需要を創出する ¹。これは、実績を重視する日本の商慣習の中で国内企業が直面する参入障壁を取り除くための重要な施策である。

2. 研究開発と技術実装の促進: 約300億円規模の研究開発プロジェクトを推進し、AIを活用したセキュリティや、量子コンピュータでも解読が困難な「耐量子計算機暗号（PQC）」といった次世代技術の社会実装を後押しする ²⁵。また、国内商流の中心であるシステムインテグレーター（SIer）と国産ベンダーとのマッチングの場を創出し、エコシステムの形成を促す ²⁵。

3. 国際展開と標準化戦略: 国内市場だけでなく、海外への展開を積極的に支援し、国際的な標準化活動への関与を強めることで、日本企業のグローバルな競争力を高める ²⁵。

この産業振興戦略は、単なる経済政策ではない。それは、サイバーセキュリティという国家存立に不可欠な技術領域において、外国への過度な依存から脱却し、自律的な技術基盤を確保しようとする、日本の広範な経済安全保障政策と密接に連携した国家戦略である。サイバー脅威という安全保障上の緊急性をテコに、市場への強力な政府介入を正当化し、戦略的に重要な国内産業基盤を構築しようとする明確な意図がそこにはある。

3.3 人的資本の危機への対応

どれほど高度な法制度や組織、技術を導入したとしても、それを運用する有能な人材がいなければ、戦略は絵に描いた餅に終わる。日本の新戦略が直面する最大かつ最も根本的な制約要因は、サイバーセキュリティ分野における深刻な人的資本の不足である。政府自身も、人口減少に伴い、官民を通じて人材不足がさらに深刻化する恐れがあると認めている ¹。

この危機的状況に対応するため、新戦略では産官学が連携した「社会全体」での人材育成が不可欠であると強調されている ¹。そのアプローチは多岐にわたる。

• 高度専門人材の育成: 高度専門人材を育成するためのプログラムを拡充し、セキュリティ人材のキャリアとしての魅力を向上・発信する ²⁵。特に、能動的サイバー防御のような高度な作戦を担う人材を確保するため、民間からの積極的な登用や、実践的な演習環境の構築が計画されている ¹。

• 共通基盤の整備: 官民で共通して利用できる「人材フレームワーク」を策定し、スキルの可視化と流動性の向上を図る ¹。これにより、必要なスキルセットを持つ人材を適材適所で配置しやすくなることが期待される。

• 裾野の拡大: 専門家だけでなく、国民全体のサイバーリテラシー向上も重要視されている。GIGAスクール構想と連携した若年層への普及啓発や、高齢者向けのデジタル活用支援などを通じ、社会全体の防御力の底上げを目指す ¹³。これは、「Cybersecurity for All」という理念に基づき、誰もが安全にデジタル社会に参加できる環境を構築しようとするものである ¹⁴。

しかし、これらの施策が掲げる理想と、日本の労働市場や教育システムが抱える構造的な課題との間には、依然として大きな隔たりが存在する。大学のカリキュラムと産業界のニーズの不一致、硬直的な雇用慣行、そして世界的に激化する人材獲得競争の中で、新戦略が要求する質と量の両面でエリート人材を確保・育成することは極めて困難な挑戦である ²⁷。

結論として、人的資本の問題は、新戦略の実現可能性を左右するアキレス腱である。政府は新たな権限を法制化し、新たな組織を設立することはできる。しかし、その組織に魂を吹き込み、権限を実効的に行使するための高度な専門知識と経験を持つ人材が不足すれば、戦略は形骸化しかねない。この「戦略と人材のギャップ」こそが、日本の新たなサイバー・ドクトリンが乗り越えなければならない最大の試練と言えるだろう。

第IV部：能動的サイバー防御のドクトリン：パラダイムシフトとその論争

4.1 範囲の定義：脅威ハンティングから無害化まで

日本の新戦略の中核をなす「能動的サイバー防御（Active Cyber Defense）」は、従来のサイバーセキュリティの概念を根本から覆すパラダイムシフトである。これは、自らのネットワークの城壁を固める受動的な「篭城防御」モデルから、攻撃の兆候を早期に発見し、攻撃者が行動を起こす前にその能力を無力化する攻勢的な「前方防御」モデルへの転換を意味する。

政府の定義によれば、能動的サイバー防御とは、「武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止する」ための措置である ¹¹。これは、あくまで有事ではなく「平時」における安全保障活動として位置づけられている ³⁰。

その具体的な活動は、大きく二つのフェーズに分けられる。

1. 第1フェーズ：情報収集・検知: 国内の電気通信事業者が提供する通信情報を活用し、サイバー攻撃に悪用されている、あるいはその疑いがあるサーバー等を検知する ¹⁶。ここでの「通信情報」とは、通信の内容そのものではなく、通信の発信元・宛先IPアドレス、ポート番号、通信日時、データ量といった、脅威分析に必要な機械的・外形的な情報（メタデータ）を指す。この分析は、人による知得を伴わない自動的な方法で行われ、脅威の兆候を早期に掴むことを目的とする ³²。

2. 第2フェーズ：侵入・無害化: 重大かつ差し迫った脅威が特定された場合、国家サイバー統括室（NCO）の調整の下、警察や自衛隊などの権限を有する政府機関が、国内外に存在する攻撃者のサーバーにアクセスし、脅威を無害化する措置を講じる ⁴。無害化措置には、マルウェアの削除、不正なプログラムの停止、サーバーの機能停止などが含まれる。

このドクトリンの導入は、日本がサイバー空間を、単に保護すべきITインフラとしてではなく、国家の安全保障を確保するために継続的な作戦行動が必要とされる領域として捉え始めたことを示している。脅威が国境を越え、瞬時に拡散するサイバー空間の特性上、攻撃を受けてから対処する後追い型の防御では、深刻な被害を防ぎきれないという厳しい認識がその背景にある。能動的サイバー防御は、この非対称性を克服し、防御側に主導権を取り戻すための戦略的転換なのである。

4.2 憲法上の挑戦：「通信の秘密」

能動的サイバー防御の導入における最大かつ最も本質的な論争点は、日本国憲法第21条第2項が保障する「通信の秘密」との関係である。脅威を検知するために政府が通信情報を収集・分析するという行為は、個人のプライバシー権の中核をなすこの憲法上の権利と直接的に衝突する可能性がある ⁶。

この法的・憲法上の難題に対し、政府は「公共の福祉」による制約という論理でその正当性を主張している。内閣法制局長官の見解によれば、「通信の秘密」も絶対的なものではなく、「公共の福祉の観点から必要やむを得ない限度において一定の制約に服すべき場合がある」と解釈されている ¹⁶。政府は、深刻化するサイバー攻撃から国民の生命や財産、社会経済活動を守ることは、まさにこの「公共の福祉」に合致するものであり、そのための必要最小限の措置は許容されるとの立場を取る ⁷。

この正当化を支えるため、政府は権利侵害を最小限に留めるための複数のセーフガード（安全装置）を法制度に組み込んでいる。

• 機械的・自動的選別: 通信情報の分析は、まず人が介在しない自動的な方法で行われ、攻撃に関連する可能性のある機械的情報のみが選別される。これにより、通信内容に踏み込むことなく、脅威の兆候を捉えることを目指す ³²。

• 情報の即時消去: 選別の結果、脅威とは無関係と判断された情報は直ちに消去される ³²。

• 厳格な利用制限: 選別後の情報についても、利用目的は厳しく制限され、権限のない職員による不正な利用や漏洩には厳しい罰則が科される ³²。

• 独立した監督機関: 政府の権限濫用を防ぐため、官民の適正な連携を監督する独立した第三者機関の設置が検討されている ¹⁶。

しかし、これらのセーフガードをもってしても、懸念が完全に払拭されたわけではない。有識者会議の議論では、機械的処理と人的判断の境界線の曖昧さや、一度収集された情報が不当に利用されるリスク、同意の撤回といった具体的な問題点が指摘され続けている ¹²。

この「通信の秘密」を巡る問題は、新戦略全体の政治的・法的重心である。政府が、国民と司法の双方から信頼を得られるような、透明で実効性のあるガバナンス体制を構築できるか否かが、能動的サイバー防御が意図通りに機能するか、あるいは憲法上の疑義によってその運用が著しく制約されるかを決定づける。これは、日本の安全保障政策における、極めて高度な法的・政治的バランス感覚が問われる試金石と言えるだろう。

4.3 国際法とエスカレーションのリスク

能動的サイバー防御の「無害化措置」、特に国外のサーバーへのアクセスは、国内法上の論点に加えて、国際法および地政学的な次元で重大なリスクを伴う。法的には「防御」と位置づけられていても、その作戦行動の実態は、国家主権や攻撃と防御の境界線を巡る複雑な問題を提起する。

最も基本的な課題は、国家主権の侵害である。ある国の政府機関が、たとえそれがサイバー攻撃の踏み台として利用されていたとしても、他国の領土内に存在するサーバーに許可なくアクセスする行為は、当該国の主権を侵害すると解釈される可能性がある ²⁷。これは、国際的な非難や外交問題に発展するリスクを内包している。

次に、攻撃者の特定（アトリビューション）に伴う技術的な困難さと、それに起因する誤爆のリスクがある。サイバー攻撃者は、複数の国を経由したり、第三者のサーバーを乗っ取ったりして自らの身元を隠蔽するため、攻撃元を正確かつ迅速に特定することは極めて難しい ¹⁹。万が一、特定を誤り、友好国や無関係な第三者のサーバーを無害化してしまった場合、その外交的・経済的損害は計り知れない。

さらに深刻なのは、エスカレーション（事態の段階的拡大）のリスクである。日本による「無害化措置」が、相手国から「サイバー攻撃」と見なされる可能性は否定できない。その場合、相手国は報復として、より大規模なサイバー攻撃や、場合によっては物理的な領域での対抗措置に踏み切るかもしれない ²⁷。これにより、意図せざる形でサイバー空間での対立が激化し、制御不能な状況に陥る危険性がある。能動的サイバー防御は、防御と攻撃の境界線を曖昧にし、偶発的な衝突のリスクを高めるというジレンマを抱えている。

これらのリスクを管理するためには、技術的な能力だけでなく、高度な外交戦略が不可欠となる。政府も、同盟国・同志国との連携や、国際的なルール形成への積極的な関与が重要であると認識している ¹³。特に、日米同盟の枠組みの中で、情報共有、共同での脅威分析、そして作戦行動に関する連携を深化させることが、能動的サイバー防御の実効性と正当性を担保する上で鍵となるだろう。

結論として、無害化措置という物理的な国境を越える作戦行動は、日本を事実上の攻勢的サイバー作戦の領域へと踏み込ませるものである。その成功は、技術的・法的な枠組みの整備だけでなく、同盟国との緊密な連携を通じて、地政学的な誤算や意図せぬエスカレーションをいかに回避するかにかかっている。

第V部：比較分析：グローバルな文脈における日本の戦略

日本の新たなサイバーセキュリティ戦略は、同盟国やパートナー国の先進的な取り組みを参考にしつつ、日本固有の課題に対応するために構築されたハイブリッドなモデルである。その特徴と立ち位置を明確にするため、米国、英国、欧州連合（EU）の戦略との比較分析を行う。

5.1 米国モデル：「ディフェンド・フォワード」

米国の国家サイバーセキュリティ戦略（2023年）は、「ディフェンド・フォワード（前方防衛）」という概念を中核に据えている ³⁵。これは、脅威が米国内に到達する前に、その源流において継続的にこれを妨害・無力化するという攻勢的なドクトリンである。日本の能動的サイバー防御は、この思想から強い影響を受けている。また、米国戦略のもう一つの特徴は、ソフトウェア開発者やサービス提供者など、リスクを最も効果的に低減できる立場にある主体にセキュリティ確保の責任を移転させる「責任の再配分」を掲げている点である ³⁵。これは、強力な諜報能力と明確な攻勢的サイバー作戦ドクトリンに支えられている。

5.2 英国の「社会全体」アプローチ

英国の国家サイバー戦略2022は、「社会全体（Whole-of-Society）」でのアプローチを強調している ³⁹。これは、政府、産業界、学術界、そして市民一人ひとりが連携し、国家全体の「サイバー・エコシステム」を強化することを目指すものである。攻勢的サイバー能力を担う「国家サイバー部隊（NCF）」の役割を明確にしつつ、国内のスキル育成や産業振興にも重点を置いている点が特徴的である ³⁹。日本の戦略における産官学連携や人材育成、産業振興策は、この英国モデルと多くの共通点を持つ。

5.3 欧州連合（EU）の規制とレジリエンスの枠組み

EUのサイバーセキュリティ戦略は、単一市場全体での集団的レジリエンスの構築を目的とした、規制主導型のアプローチを特徴とする ⁴²。NIS2指令（ネットワーク・情報システム指令の改訂版）やサイバーレジリエンス法といったEU規模の法規制を通じて、重要インフラ事業者やデジタル製品メーカーに高いレベルのセキュリティ対策を義務付けている。また、加盟国間の協力と対応能力の向上を目指す「共同サイバーユニット」の構想など、集団的安全保障の側面が強い ⁴²。日本の新戦略における重要インフラへの規制強化は、このEUのアプローチと軌を一にするものである。

5.4 日本のアプローチにおける統合と独自性

日本の新戦略は、これら欧米のモデルから複数の要素を取り入れた統合的アプローチと言える。米国の「前方防御」思想を「能動的サイバー防御」として導入し、英国の「エコシステム」構築と産業政策を参考にし、EUの重要インフラ規制強化の考え方を採用している。

しかし、日本の戦略には、他国にはない極めて重要な独自性、すなわち最大の課題が存在する。それは、憲法第21条が保障する「通信の秘密」という、他国のプライバシー保護の議論よりも厳格かつ特殊な憲法上の制約である。米国や英国も安全保障とプライバシーのバランスに苦慮しているが、日本の憲法解釈と判例の歴史は、政府による通信へのアクセスに対して特に高いハードルを課してきた。したがって、能動的サイバー防御を実現するために、この憲法上の制約をいかに乗り越えるかという点において、日本は世界でも類を見ない、独自の法的・政治的解決策を模索せざるを得ないのである。

表2：国家サイバーセキュリティ戦略の比較分析（日本、米国、英国、EU）

第VI部：重要な課題、戦略的展望、および提言

6.1 実行上の障壁の克服

日本の新たなサイバーセキュリティ戦略は、その野心的な目標設定と包括的なアプローチにおいて画期的であるが、その実行には数多くの深刻な障壁が存在する。これらの課題を克服できるか否かが、戦略の成否を最終的に決定づける。

• 法的・憲法上の課題: 最も根本的な障壁は、前述の通り「通信の秘密」を巡る憲法上の問題である。政府が提案するセーフガードが司法の審査に耐え、国民の信頼を勝ち得ることができるかは依然として不透明である ⁶。万が一、関連法の規定が違憲と判断された場合、あるいは世論の強い反発に直面した場合、能動的サイバー防御の中核機能は麻痺し、戦略全体が頓挫するリスクがある。

• 人的資本の課題: 新設された国家サイバー統括室（NCO）を始め、政府機関や重要インフラ分野で、高度なサイバー作戦や脅威分析を遂行できるエリート人材が決定的に不足している ¹。これは単なる数合わせの問題ではなく、国家レベルの攻撃者と対峙できるトップレベルの専門知識と経験を持つ人材の確保という質的な問題である。この人材ギャップを埋められない限り、戦略は「宝の持ち腐れ」となりかねない。

• 技術的・産業的課題: 国内サイバーセキュリティ産業の売上高を3倍にするという目標は野心的だが、その実現には海外の先進企業との技術格差を埋める必要がある ¹。政府調達や研究開発投資が国内企業の真の技術力向上に結びつかなければ、単なる国内市場の保護に終わり、グローバルな脅威に対応できる強靭な産業基盤の構築には至らない可能性がある。

• 官僚機構の課題: NCOの強力な司令塔機能が、従来の省庁の縦割りを打破し、警察、自衛隊、総務省、経済産業省といった関係機関を実効的に指揮・調整できるかは未知数である。各機関の権限や文化の違いを乗り越え、シームレスな連携体制を構築するには、強力な政治的リーダーシップと継続的な努力が不可欠となる。

6.2 民間部門への影響

新戦略は、日本の民間企業に対して、新たな「負担」と「機会」という二つの側面から大きな影響を及ぼす。

• 負担の側面: 特に、電力、金融、通信、医療など15分野の重要インフラ事業者およびそのサプライチェーンを構成する企業は、新たな法的義務を負うことになる ¹⁸。これには、インシデント発生時の政府への即時報告義務、重要システムの導入に関する届出義務、そして政府が策定する新たなセキュリティ基準への準拠などが含まれる。これらのコンプライアンス対応は、企業にとって新たなコスト負担となる。また、政府による通信情報の利用やシステムへのアクセスは、企業の事業活動の自由や顧客情報の保護との間で新たな緊張関係を生む可能性がある。

• 機会の側面: 一方で、新戦略は国内のサイバーセキュリティ市場に巨大なビジネスチャンスをもたらす。政府が掲げる3兆円規模の市場創出目標は、セキュリティ製品ベンダー、サービスプロバイダー、コンサルティングファーム、人材育成事業者など、関連するあらゆる企業にとって大きな追い風となる ²⁵。特に、政府調達が国内のスタートアップや中小企業に門戸を開くことで、新たなイノベーションが促進されることが期待される。社会全体のセキュリティ意識の高まりは、あらゆる企業に対してセキュリティ投資の必要性を認識させ、市場全体の拡大に繋がるだろう。

6.3 戦略的展望と提言

日本の新たなサイバーセキュリティ戦略は、国家の安全保障政策における重大な転換点である。もし、前述の数々の課題を克服し、成功裏に実行されれば、日本の国家レジリエンスは飛躍的に向上し、サイバー空間における抑止力も強化されるだろう。これにより、日本は日米同盟におけるサイバー分野での役割を拡大し、米国や英国といった「ファイブ・アイズ」諸国とより緊密に連携できる、真のサイバーパワーとしての地位を確立する可能性がある。

しかし、その道のりは険しい。法的・憲法上の論争、深刻な人材不足、そして官僚機構の壁といった国内の構造的課題が、この野心的な改革の足かせとなるリスクは極めて高い。

この歴史的転換を成功に導くため、以下の提言を行う。

• 政府への提言:

• 透明性と監督機能の確立: 能動的サイバー防御の運用にあたり、その権限行使を監督する、強力な権限を持つ独立した第三者機関を早急に設立すべきである。運用状況に関する年次報告書の国会への提出と公表を義務付けるなど、徹底した透明性を確保することで、国民の信頼を醸成し、憲法上の懸念に対応する必要がある。

• 国家ミッションとしての人材育成: サイバーセキュリティ人材の育成を、単なる教育政策や産業政策の一環としてではなく、国家の存立に関わる「国家ミッション」と位置づけるべきである。初等教育から大学院レベルの高度専門教育まで、一貫した教育カリキュラムを抜本的に改革し、官民が協力して世界トップレベルの人材を惹きつけ、育成するための大胆な投資（奨学金、研究拠点設立など）を行うべきである。

• 産業界への提言:

• 積極的な政策形成への関与: 新たなセキュリティ基準の策定など、政府の政策形成プロセスに産業界として積極的に関与し、実効性と実現可能性を両立させるための現実的な提言を行うべきである。受け身のコンプライアンス対応に終始するのではなく、官民が対等なパートナーとして、より良い制度を共に作り上げる姿勢が求められる。

• サプライチェーン全体の防衛: 最高情報セキュリティ責任者（CISO）は、自社のセキュリティ対策だけでなく、サプライチェーン全体のリスク評価と対策強化を最優先課題とすべきである。新たな法的要請を見据え、インシデント報告体制の整備や、委託先との連携強化を今すぐ開始する必要がある。また、社内のIT人材をセキュリティ人材へと転換させるリスキリング（学び直し）への投資は、将来の競争力を左右する極めて重要な経営判断となる。

引用文献

1. 新たなサイバーセキュリティ戦略の方向性 - NISC, 9月 22, 2025にアクセス、 https://www.nisc.go.jp/pdf/council/cs/n01/01document1.pdf

2. 概要 - 国家サイバー統括室 - NISC, 9月 22, 2025にアクセス、 https://www.nisc.go.jp/about/overview

3. サイバーセキュリティ 2025 （2024 年度年次報告・2025 年度年次計画） - NISC, 9月 22, 2025にアクセス、 https://www.nisc.go.jp/pdf/policy/kihon-s/250627cs2025.pdf

4. 「攻撃を先回りして無害化する」政府の新セキュリティ組織「国家 ..., 9月 21, 2025にアクセス、 https://act1.co.jp/2025_07_02-1/

5. サイバー安全保障に関する取組（能動的サイバー防御の実現に向けた検討など） - 内閣官房, 9月 22, 2025にアクセス、 https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/index.html

6. 能動的サイバー防御の導入に向けた政策動向 - 大和総研, 9月 22, 2025にアクセス、 https://www.dir.co.jp/report/technology/security/20250421_025042.pdf

7. 通信の秘密はどうなる？ 「能動的サイバー防御」新法が企業に与える影響 - ITmedia, 9月 22, 2025にアクセス、 https://www.itmedia.co.jp/business/articles/2505/23/news039.html

8. サイバーセキュリティ人材の育成促進に向けた検討会 最終取りまとめ, 9月 22, 2025にアクセス、 https://www.meti.go.jp/press/2025/05/20250514002/20250514002-2.pdf

9. サイバーセキュリティ政策の 現状と動向について, 9月 22, 2025にアクセス、 https://www.sec-dogo.jp/online/download/kicho.pdf

10. 防御側が先手を取る。政府が構想「能動的サイバー防御」とは - NTTドコモビジネス, 9月 22, 2025にアクセス、 https://www.ntt.com/bizon/active-cyber-defense.html

11. サイバー安全保障分野での対応能力の向上に向けて - 内閣官房, 9月 22, 2025にアクセス、 https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/dai1/siryou3.pdf

12. 「サイバー安全保障分野での対応能力の向上に向けた有識者会議」(第1回)議事要旨 - 内閣官房, 9月 22, 2025にアクセス、 https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/dai1/gijiyousi.pdf

13. 新しい「サイバーセキュリティ戦略」について, 9月 21, 2025にアクセス、 https://www.jnsa.org/seminar/2021/std/data/keynotespeech_nisc.pdf

14. 現行の「サイバーセキュリティ戦略」と 「サイバーセキュリティ意識・行動強化プログラム」 - NISC, 9月 22, 2025にアクセス、 https://www.nisc.go.jp/pdf/council/cs/jinzai/dai17/17sankou03.pdf

15. 能動的サイバー防御の導入へ有識者会議設置政府から初会合の報告受ける - 自由民主党, 9月 22, 2025にアクセス、 https://www.jimin.jp/news/information/208475.html

16. 能動的サイバー防御に係る制度構築の方向性と課題 - 参議院, 9月 22, 2025にアクセス、 https://www.sangiin.go.jp/japanese/annai/chousa/keizai_prism/backnumber/r06pdf/202423901.pdf

17. 能動的サイバー防御関連法案が成立へ――新領域横断安全保障の実現に向けて, 9月 22, 2025にアクセス、 https://www.spf.org/iina/articles/osawa_07.html

18. 能動的サイバー防御法案：企業への影響とポイント - Control Risks, 9月 22, 2025にアクセス、 https://www.controlrisks.com/jp/our-thinking/japanese/active-cyber-defence

19. 能動的サイバー防御とは？具体的な政策内容や推進する際の課題 - GMOインターネットグループ, 9月 22, 2025にアクセス、 https://group.gmo/security/cybersecurity/cyberattack/blog/active-cyber-defense/

20. 国家サイバー統括室 - Wikipedia, 9月 21, 2025にアクセス、 https://ja.wikipedia.org/wiki/%E5%9B%BD%E5%AE%B6%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E7%B5%B1%E6%8B%AC%E5%AE%A4

21. サイバーセキュリティ戦略本部-令和7年7月1日 | 政府広報オンライン, 9月 22, 2025にアクセス、 https://www.gov-online.go.jp/press_conferences/prime_minister/202507/video-299685.html

22. 第1回サイバーセキュリティ戦略本部を総理大臣官邸で開催（7月1日） - J ディフェンス ニュース, 9月 22, 2025にアクセス、 https://j-defense.ikaros.jp/docs/mod/003456.html

23. 国家サイバー統括室 - 内閣官房, 9月 21, 2025にアクセス、 https://www.cas.go.jp/jp/gaiyou/jimu/nisc.html

24. 報道資料 - NISC, 9月 22, 2025にアクセス、 https://www.nisc.go.jp/pdf/council/cs/n01/01cs_press.pdf

25. 我が国から有望なサイバーセキュリティ製品・サービスが次々に ..., 9月 21, 2025にアクセス、 https://www.meti.go.jp/press/2024/03/20250305001/20250305001.html

26. 政府、サイバー脅威に対応する新戦略を年内策定へ 専門家会議が始動 | 電波新聞デジタル, 9月 22, 2025にアクセス、 https://dempa-digital.com/article/692929

27. 政府の「国家サイバー統括室」が始動、能動的サイバー防御の司令塔としての役割と課題, 9月 22, 2025にアクセス、 https://blog.cbsec.jp/entry/2025/07/04/060000

28. 「サイバーセキュリティ人材育成分科会」 第１次取りまとめ - 総務省, 9月 22, 2025にアクセス、 https://www.soumu.go.jp/main_content/000626983.pdf

29. 日本は11万人不足？セキュリティ人材確保の現場から見る課題と対策 - KOTORA JOURNAL, 9月 22, 2025にアクセス、 https://www.kotora.jp/c/91560-2/

30. 軍事の観点から考察する「能動的サイバー防御」の本質とその重要性とは | BLOG, 9月 22, 2025にアクセス、 https://www.cybereason.co.jp/blog/cyberattack/12951/

31. サイバー安全保障分野での対応能力の向上に向けた提言 (2025年1月30日 No.3669), 9月 22, 2025にアクセス、 https://www.keidanren.or.jp/journal/times/2025/0130_09.html

32. サイバー対処能力強化法※1 及び同整備法※2について - 内閣官房, 9月 22, 2025にアクセス、 https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/pdf/setsumei.pdf

33. 通信の秘密 vs 国家安全保障 激変するサイバーセキュリティ法制の行方 | ログミーBusiness, 9月 22, 2025にアクセス、 https://logmi.jp/brandtopics/331133

34. 資料６－4, 9月 22, 2025にアクセス、 https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/dai3/siryou6-4.pdf

35. National Cybersecurity Strategy | ONCD | The White House, 9月 22, 2025にアクセス、 https://bidenwhitehouse.archives.gov/oncd/national-cybersecurity-strategy/

36. National Cybersecurity Strategy - Federal Communications Commission, 9月 22, 2025にアクセス、 https://www.fcc.gov/sites/default/files/ONCD%20National%20Cybersecurity%20Strategy%20-%20FCC%20BGP%20Wrkshp073123.pdf

37. Overview of the National Cybersecurity Strategy | Davis Wright Tremaine, 9月 22, 2025にアクセス、 https://www.dwt.com/blogs/privacy--security-law-blog/2023/03/biden-national-cybersecurity-strategy

38. NATIONAL CYBERSECURITY STRATEGY - Biden White House, 9月 22, 2025にアクセス、 https://bidenwhitehouse.archives.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf

39. National Cyber Strategy 2022 (HTML) - GOV.UK, 9月 22, 2025にアクセス、 https://www.gov.uk/government/publications/national-cyber-strategy-2022/national-cyber-security-strategy-2022

40. Government Cyber Security Strategy 2022–2030 - GOV.UK, 9月 22, 2025にアクセス、 https://assets.publishing.service.gov.uk/media/61f0169de90e070375c230a8/government-cyber-security-strategy.pdf

41. Cybersecurity in the UK - UK Parliament, 9月 22, 2025にアクセス、 https://researchbriefings.files.parliament.uk/documents/CBP-9821/CBP-9821.pdf

42. EU Cybersecurity Strategy | Shaping Europe's digital future, 9月 22, 2025にアクセス、 https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-strategy

43. EU cybersecurity policies | Shaping Europe's digital future - European Union, 9月 22, 2025にアクセス、 https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-policies

44. EU Cybersecurity Act: strategy, scope and stakes - Publyon, 9月 22, 2025にアクセス、 https://publyon.com/eu-cybersecurity-act-strategy-scope-and-stakes/

45. 国家サイバー統括室が発足：中小企業こそ「防衛の最前線」に立つ時代へ, 9月 22, 2025にアクセス、 https://www.gate02.ne.jp/lab/security-article/establishment-of-national-cybersecurity-office/