能動的サイバー防御とは？日本での重要性を解説

2025年2月7日、政府は「能動的サイバー防御」の導入に向けた法案を閣議決定しました。

この法案では、追加でサイバー攻撃の兆候や発信元を特定し、無害化するための措置などが盛り込まれました。現状では、法案の段階で具体的な内容は決まってはいません。

「能動的サイバー防御」の導入を目指す理由としては、ここ数年、ランサムウェアを始めとする巧妙なサイバー攻撃で政府機関や重要インフラを狙うサイバー攻撃が相次ぎ、単なる情報漏洩だけでなく、国家の関与が疑われるケースもあることが大きな要因です。

そこで、このブログでは、能動的サイバー防御とは何か、その重要性、民間企業が今後予測できる動きなどを解説します。

能動的サイバー防御とは？

能動的サイバー防御とは、サイバー攻撃の兆候を検知し、攻撃元を特定したうえで、攻撃的な戦術を使用してハッカーを出し抜いたり、攻撃者の動きを遅らせたりすることで、攻撃の実行を困難にする仕組みを指します。これにより、攻撃ベクトルが暴露される可能性が高まり、攻撃者が自らの存在を示してしまうこともあります。従来のサイバーセキュリティ対策は、主に外部からの侵入を防ぐ受動的な手法が中心でしたが、近年では巧妙なサイバー攻撃が増加し、特権アカウントの悪用による内部攻撃も見られるようになっています。こうしたサイバー脅威に対応するため、能動的サイバー防御では、国家ぐるみで攻撃の発信元や手口を分析し、必要に応じて迅速に対処することが特徴となっています。

能動的サイバー防御の概要

内閣官房サイバー安全保障体制整備準備室が公開した公式資料では、能動的サイバー防御の実施に向けた以下の取り組みが示されています。

• 官民連携：能動的サイバー防御の実現には、政府と民間企業の緊密な連携が不可欠です。特に、通信事業者や重要インフラを担う企業と協力し、サイバー攻撃に関する情報を共有することで、より迅速かつ効果的な対応が可能となります。
• 通信情報の利用: 基幹インフラ事業者などとの協定（同意）に基づく情報取得を基本としつつ、必要に応じて同意なしでの取得も検討されます。また、自動的な方法による機械的な選別を行い、異常な通信を効率的に検知する体制を整えます。
• アクセス・無害化措置：警察は、攻撃サーバーやマルウェアへの対処を行い、実施には独立機関の事前承認と警察庁長官の指揮が必要です。また、内閣総理大臣の命令により、自衛隊も同様の権限で通信防護措置を講じます。
• 組織・体制整備等：政府はサイバーセキュリティ戦略本部を改組し、その機能を強化する方針を示しています。これにより、関係機関との連携を強化し、迅速な対応が可能となります。また、新たに「内閣サイバー官」を設置し、政府全体のサイバー防御戦略を統括する体制を整えます。

このように「能動的サイバー防御」の導入に向けた法案は、サイバーセキュリティ戦略本部の機能強化や内閣サイバー官の新設により、政府全体の防御体制を強化する方針です。

このように政府が主導することで、日本全体のサイバー防御能力が向上し、国家や企業に対するサイバーリスクの低減につながります。

能動的サイバー防御の重要性とは？

サイバー攻撃の手法は年々進化し、従来の防御策だけでは十分な対応が難しくなっています。特に、標的型攻撃やランサムウェア、内部脅威など、新たな脅威に対処するには、能動的な防御が不可欠です。

ここでは、能動的サイバー防御が求められる主な理由について解説します。

サイバー攻撃の多様化と高度化

近年、サイバー攻撃の手法は急速に進化し、その多様化と高度化が顕著になっています。従来のマルウェアやフィッシング攻撃に加え、ランサムウェアや標的型攻撃がより巧妙に行われ、企業や政府の重要なインフラがターゲットとなる事例が増加しています。

また、内部の特権アカウントを悪用するケースも増えており、外部からの侵入だけでなく、内部からの脅威にも対応する必要があります。例えば、内部でボットネットが利用されるケースが増えており、攻撃者が企業内のコンピュータやネットワーク機器を感染させ、内部から大規模な攻撃を仕掛け的ます。ボットネットは、攻撃者がリモートで複数のデバイスを制御できるため、通常のセキュリティ対策をすり抜けることが多いです。

このように、近年のサイバー攻撃の侵入経路が多岐にわたり、外部からの防御だけでは十分な対策とは言えません。そのため、攻撃元や手口を特定し、迅速に対応するための能動的な防御策が求められています。

リアルタイムの対応の重要性

サイバー攻撃は短時間で深刻な被害をもたらすため、リアルタイムでの検知と迅速な対応が不可欠です。従来のように攻撃を受けてから対処するのではなく、兆候をいち早く察知し、事前に防ぐことが求められます。

特に、欺瞞技術（ディセプション技術） を活用することで、攻撃者を誤った経路に誘導し、その行動を監視しながら防御を強化できます。また、攻撃者の速度を低下させる ことで、対応のための時間を稼ぎ、被害の拡大を防ぐことが可能です。能動的サイバー防御では、これらの手法を組み合わせ、より効果的なリアルタイム対応を実現します。

ゼロトラストへの対応

能動的サイバー防御はゼロトラストのアプローチと密接に連携しており、不審なアクセスや異常な通信をリアルタイムで分析して迅速に対応することが求められます。

ゼロトラストとは、ネットワーク内外のすべてのアクセスを信頼せず、常に検証するというセキュリティアーキテクチャの考え方です。この概念に基づいて、企業や組織はアクセス管理を徹底的に行い、ユーザーやデバイスがどこにいても、それらが正当であることを常に確認します。ゼロトラストの考え方を採用することで、内部の脅威や外部からの攻撃に対して一貫した防御が可能となります。

人員不足とリソースの制約

サイバーセキュリティ分野では、高度なスキルを持つ専門人材の不足が深刻な課題となっています。そのため、限られた人員とリソースで効果的なサイバー防御を実施するためには、AIや自動化ソリューション、コミュニティを活用することが重要です。攻撃の兆候を早期に検出し、自動的に対応するソリューションを導入することで、人的リソースの負担を軽減し、効率的な防御が可能となります。また、官民連携を強化し、サイバー攻撃に関する情報を共有することで、各組織が個別に対応する負担を減らし、協力してサイバー脅威に立ち向かう体制を立てることが鍵になります。

具体的な能動的サイバー防御の対策例

現在、2025年3月現在において、日本における能動的サイバー防御の具体的な実施内容については、有識者による法案の議案が続いており、まだ明確には定まっていません。

能動的サイバー防御の一環として、企業や各国政府では以下のような戦略が取り入れられている戦略を一部紹介します。

政府・民間組織の連携

能動的サイバー防御を効果的に実施するためには、政府機関だけでなく、民間企業との緊密な連携が不可欠です。民間企業が持つ専門知識や最新の技術を活用することで、政府が保有する広範な脅威インテリジェンスと相まって、より高度な防御体制を構築できます。この連携によって、サイバー攻撃に対する迅速かつ効果的な対応が可能になります。

さらに、政府が民間企業に委託している場合、インシデントが発生した際には、政府が介入できるような法案の整備が重要です。これにより、企業が直面するサイバー脅威に対して、政府が適切な支援を行い、被害を最小限に抑えるための体制が重要になります。

脅威インテリジェンスの活用

サイバー攻撃の手口は日々進化しており、従来の防御策だけでは対応が難しくなっているため、脅威インテリジェンスの活用が不可欠です。脅威インテリジェンスとは、サイバー攻撃に関する情報を収集、分析、共有するプロセスを含みます。これにより、攻撃者が使用する技術やツール、攻撃のターゲットやタイミングなど、重要な情報を得ることができます。過去の攻撃データを参照することで、特定の脅威に対するリスクを評価し、予防策を講じることが可能になります。

特に、共有された情報をもとに業界全体で統一された対策を取ることが非常に効果的です。企業や組織が持つ脅威インテリジェンスを相互に共有することで、同様の攻撃に対して迅速かつ一貫した対応が可能になります。

ネットワーク監視と異常検出

ネットワーク監視と異常検出では、ネットワーク上の異常をリアルタイムで検出することで、攻撃の兆候をいち早く察知し、迅速な対応を取ることが可能です。AIや機械学習を活用した異常検知システムを導入することで、従来のシグネチャベースの検出では見逃されていた未知の攻撃にも対応できるようになります。

例えば、振る舞い検知、サンドボックス環境、SIEMなどのソリューションを用いる方法などがあります。まず、振る舞い検知技術を用いてユーザーやデバイスの通常の行動パターンを学習し、それに基づいて異常な振る舞いを特定することができます。また、サンドボックスを活用することで、疑わしいファイルやプログラムを隔離された環境で実行し、その挙動を分析することで攻撃の可能性を判断します。さらに、SIEM（Security Information and Event Management）を導入することで、さまざまなセキュリティデバイスやアプリケーションからのログデータを統合し、リアルタイムで分析することが可能となります。

ボットネットのテイクダウン

ボットネットのテイクダウンは、能動的サイバー防御における重要な戦略の一つであり、マルウェアに感染した多数のデバイスを利用して攻撃を行うサイバー犯罪者の活動を抑制することを目的としています。ボットネットは、感染したデバイス（ボット）が指令サーバー（C&Cサーバー）からの指示を受けて動作し、DDoS攻撃やスパムメールの配信、情報の盗難などを実行します。

この対策として、まずボットネットの指令サーバーを特定することが必要です。これには、ネットワークトラフィックの監視や脅威インテリジェンスの活用が不可欠です。特定されたサーバーに対しては、法的手続きを通じての閉鎖や、技術的手段による無力化が行われます。これにより、攻撃者がボットを制御できなくなり、攻撃の規模や影響を大幅に削減することが可能です。

民間企業が今後必要なこととは？

「能動的サイバー防御」を導入するための法案を進めることを閣議決定しました。しかしながら、具体的に法案に盛り込まれる内容は現状決まっていません。

そのため、民間企業がどのような枠組みで進めるかについては不透明な部分が多く、現状準備しておくべき事項は明確にありません。

しかしながら、高度なサイバー攻撃に対応できる組織体制が重要です。その中でも、特に重要な要素をいくつかご紹介します。

• ゼロトラストモデルの導入: 従来の境界防御から脱却し、内部のネットワークでも常に検証を行うアプローチが求められます。
• コンプライアンス遵守: 法令や規制の遵守がますます重要視されるため、企業は関連する法律や業界標準に適合する必要があります。
• インシデントレスポンス体制の強化: サイバー攻撃が発生した際の迅速かつ効果的な対応が求められるため、インシデントレスポンス計画の策定と訓練が不可欠です。
• 教育と啓発活動の実施: 社員に対するサイバーセキュリティ教育を強化し、意識を高めることで内部からの脅威を低減する取り組みが求められます。
• セキュリティソリューションの導入: AIや機械学習を活用したセキュリティ技術の導入により、攻撃の検出や防御能力を向上させる。

このような最新のサイバーセキュリティ対策は、企業にとって引き続き求められます。

まとめ：能動的サイバー防御の戦略に備えるために

2025年、現在において、日本における能動的サイバー防御の具体的な実施内容については、有識者による法案の議案が続いており、まだ明確には定まっていません。

そのため、具体的な項目は決まっていないものの、依然として、サイバーセキュリティの基本を組織内で実現させることは不可欠です。

能動的サイバー防御の戦略に備えるためには、まず基本的なサイバーセキュリティの課題をリアすることが不可欠です。

例えば、組織内で最小権限に基づいたアクセス制御の実施、ネットワーク監視の強化、脅威インテリジェンス、ゼロトラストに基づいたアプローチなどが含まれます。これらの基盤が整っていなければ、高度な防御策を講じることは難しくなります。

能動的サイバー防御の導入に向けては、まずは基礎を固め、次に新たな戦略に取り組むことで、サイバー攻撃に対するレジリエンスを高めることができるでしょう。