“能動的“サイバー防御とは？日本で進む法改正と「ハッキング・バック」の行方、企業への影響を解説

サイバー攻撃が国家規模で行われる時代、日本政府は新たに「能動的サイバー防御」の導入を打ち出しました。これは従来の「受け身の守り」ではなく、攻撃元に直接働きかけて被害を食い止める仕組みです。中でも注目されるのが「ハッキング・バック」――攻撃者が利用するサーバーに侵入して一時的に無力化する対抗措置です。

政府は既に国家安全保障戦略やサイバーセキュリティ基本法改正で一部の体制を整備しましたが、警察や自衛隊にハッキング・バックを認める「整備法（仮称）」や、重要インフラ事業者に報告義務を課す「強化法（仮称）」はまだ審議中です。成立すれば日本で初めて攻撃元への直接対応が合法化されることになります。ただ、通信の秘密やプライバシー保護、国際法との整合性など難題も残されています。

本記事では、この能動的サイバー防御の仕組みについて、すでに成立した制度とこれから審議される法案の違いを整理し、企業や市民にとってどんな変化が起きるのかをわかりやすく解説します。

能動的サイバー防御の概要と立法の背景

能動的サイバー防御という言葉はまだ一般には耳慣れないかもしれません。これは、従来のセキュリティ対策が「防御一辺倒」であったのに対し、攻撃を受ける前にその兆候をとらえたり、攻撃元に直接働きかけて被害を抑え込んだりする、新しい発想に基づく仕組みです。なぜこうした制度が必要とされるようになったのか――まずはサイバー攻撃の現状と、日本の法制度が抱える限界から見ていきましょう。

サイバー攻撃の高度化と現行法制の限界

近年、国家レベルで行われるサイバー攻撃や、ランサムウェアを用いた国際的な犯罪組織による攻撃が急増しています。特に、電力・交通といった重要インフラや行政機関に対する攻撃は、単なる情報漏洩にとどまらず、社会全体の安全保障に深刻な影響を及ぼすおそれがあります。

従来の日本の法制度では、不正アクセス禁止法や刑法（第234条の2、電子計算機損壊等業務妨害罪）などによって、不正行為を規制してきました。ですが、これらは主に事後的な処罰を目的とした枠組みであり、攻撃が発生した際に即座に「攻撃元を遮断・無力化」する能力を制度的に備えていませんでした。このため、現行法制下では被害の拡大防止に限界がある点が指摘されてきました。

政府が能動的防御を検討する経緯

こうした現状を鑑み、政府は国家安全保障戦略やサイバーセキュリティ戦略の中で「能動的サイバー防御」の必要性を明確に打ち出しました。従来の「受動的」な防御策、すなわち侵入防止システムや暗号化通信による防御だけでは、国家的な攻撃を防ぎきれない現実が背景にあります。

特に、2022年以降、欧米諸国では政府主導での「ハッキング・バック（攻撃元への直接的対処）」が議論されており、日本も国際協調の観点から、法的根拠を整備する必要性に迫られました。この動きは、自衛隊法や警察法の改正議論と連動し、国家安全保障会議における政策決定として結実しました。

「攻撃的」対策と「防御的」対策の境界

もっとも、能動的サイバー防御は「攻撃」と「防御」の境界が曖昧であるという難点を抱えています。例えば、攻撃元のサーバーにアクセスして強制的に機能を停止させる措置は、防御であると同時に相手側から見れば「攻撃」に見える可能性があります。

この点については、国際法上の「武力行使」や「主権侵害」との関係が問題となりうるため、政府は国際法秩序と整合する範囲で制度設計を進める必要があると説明しています。また、国内的にも憲法第21条2項に基づく通信の秘密やプライバシー権への配慮が不可欠であり、単なる治安対策を超えた憲法上の議論を要する分野となっています。

参考：内閣官房｜サイバー安全保障に関する取組（能動的サイバー防御の実現に向けた検討など）

現行制度における制約と法的課題

では次に、現行の法制度のもとで「能動的サイバー防御」を実行しようとした場合、どのような制約があるのかを整理してみましょう。日本にはすでに不正アクセス禁止法や電波法といったサイバー関連の法律がありますが、これらは主に「不正行為を処罰する」ことを目的としており、攻撃元に直接対処する仕組みは含まれていません。そのため、現行制度のままでは能動的防御の実施は難しく、複数の法的課題が横たわっています。

不正アクセス禁止法・電波法等との関係

現行法では、不正アクセス禁止法第3条が「他人の識別符号を入力する行為」等を禁止しており、企業や政府機関が相手のサーバーに侵入して対処することは原則として違法となります。また、電波法（第59条）は通信の秘密を厳格に保護しており、通信の傍受や改変を正当化するには特別の法律が必要です。したがって、現行制度下で能動的防御を行えば、これらの規制に抵触するリスクが高く、事実上、民間も政府機関も対処能力を十分に発揮できません。

個人情報保護や通信の秘密に関する制限

サイバー攻撃の経路を特定するには、大量の通信データを解析する必要があります。しかし、個人情報保護法は、個人識別可能な情報の利用を厳格に制限しており、また憲法第21条2項は「通信の秘密」を保障しています。

このため、企業が独自にトラフィック監視や攻撃元の追跡を行うと、利用者のプライバシー権を侵害するおそれがあり、法的リスクを伴います。この点、能動的防御を認める立法には、これらの権利制限の合憲性をどのように担保するかが重要な課題となっています。

企業が現行法下で取れる対策の範囲

現行法制下で企業が取れる防御策は、基本的に自社システム内で完結する対策に限られます。具体的には、ファイアウォールの強化、不正アクセス検知システム（IDS/IPS）の導入、ログ監視やパッチ適用などが中心です。万が一攻撃が発生した場合も、警察や情報処理推進機構（IPA）への通報が主な対応となり、攻撃元に直接働きかけることは認められていません。

これにより、攻撃が継続的に行われる場合、企業は「防御の限界」に直面せざるを得ず、能動的防御を政府が制度的に担う必要性が高まっているといえます。

能動的サイバー防御関連法の主要ポイント

能動的サイバー防御関連法の中で、主に重要なポイントは、下記の3点です。

• 官民連携に関する制度
• 通信情報の利用
• アクセス・無害化措置

官民連携に関する制度

能動的サイバー防御を制度として機能させるため、政府は新しい法律の整備を進めています。その中核となるのが「サイバー対処能力強化法（仮称、以下『強化法』）」です。この法律は、基幹インフラを担う事業者と政府の情報共有を強化することを目的としており、特に「特定重要電子計算機」を指定・届出する仕組みを新設しています。

具体的には、基幹インフラ事業者は、自らが設置する重要電子計算機のうち、国民生活や社会経済活動に重大な影響を及ぼす可能性があるものを「特定重要電子計算機」として内閣総理大臣に届出なければなりません（強化法9条1項）。また、不正アクセスなどの攻撃が発生し被害が拡大するおそれがある場合には、速やかに政府へ報告する義務が課されています（強化法第5条）。

さらに、内閣総理大臣は、必要に応じて事業者に対し、対策に関する報告を求めることができると規定されています（強化法第10条第1項）。これにより、基幹インフラ事業者は単なる受動的な報告にとどまらず、平時から継続的に政府と情報を共有し、協議に応じることが求められることになります。

通信情報の利用

能動的サイバー防御を実際に機能させるには、攻撃がどこから来ているかを素早く突き止める仕組みが欠かせません。そこで強化法では、通信事業者（携帯会社やインターネットプロバイダなど）が、攻撃に関係する通信情報を政府に提供できる制度が設けられました（強化法第15条）。

ただし提供されるのは、メール本文や通話内容のような個人の中身ではありません。IPアドレスや通信の時間帯といった“メタデータ”に限定され、内容そのものは扱わない仕組みになっています。強化法では、こうしたデータを自動的に選別し（強化法第22条・第35条）、さらに非識別化措置を施して個人が特定されないよう変換することが定められています（強化法第24条）。

この制度によって、政府はリアルタイムでサイバー攻撃の兆候を把握し、重要インフラ事業者や警察と連携して迅速に防御することが可能になります。他方で、通信事業者にとっては「どんな条件で情報を提供できるのか」「匿名化のルールをどう運用するか」といった社内手続きの整備が不可欠となります。

アクセス・無害化措置

能動的サイバー防御を動かすうえで最大の論点は、攻撃元に直接働きかける「無害化措置」をどう正当化するかです。その法的根拠を与えるために用意されたのが「整備法（仮称）」です。整備法では、警察や自衛隊が特定の条件下で攻撃元サーバーにアクセスし、機能を一時的に止められる仕組みが定められました。

具体的には、警察については、サイバー攻撃の被害拡大を防ぐために必要がある場合、攻撃者が利用する電子計算機にアクセスして一時的に無力化できると規定されています（整備法第2条、警職法第6条の2第2項）。ただし、これは無制限ではなく、「サイバー通信情報監理委員会」の事前承認が必須です（同法第6条の2第4項）。

自衛隊についても同様に、武力攻撃や重大なサイバー事案が発生した場合、防衛出動や治安出動の枠組みの中で通信の無害化措置を行えるとされています（整備法第4条、自衛隊法第81条の3の新設）。これにより、国家レベルの攻撃に対して政府が直接対応する道が開かれました。

企業にとっても無関係ではありません。自社システムや通信経路がこうした「対処措置」の対象となる場合も想定されるため、政府機関からの要請や通知にどう対応するか、事前に体制を準備しておく必要があります。

組織・体制整備

整備法では、能動的サイバー防御を実効的に運用するための組織改編が行われました。内閣官房に設置されていた内閣サイバーセキュリティセンター（NISC）は発展的に再編され、「国家サイバー統括室」として強化されます。

また、同室の長として次官級の「内閣サイバー官」が新設され、官民の情報集約および調整を一元的に行う責任を負うことになります。これにより、従来分散していたサイバー関連の司令塔機能が強化され、重要インフラ事業者からの届出・報告の窓口も一元化されることになります。

さらに、サイバーセキュリティ基本法も改正され、重要インフラ事業者や関連事業者等に対し、協力要請に応じる努力義務が明文化されました（サイバーセキュリティ基本法第6条、第7条第1項、第8条、第33条第2項、第3項）。

まとめ：サイバーセキュリティの法的問題については専門家に相談を

能動的サイバー防御は、サイバー空間を「戦場」と見なす新しい安全保障戦略の一環として、日本に導入されようとしています。その背景には、従来の受動的防御では対抗できない現実と、国際的な安全保障環境の変化があります。

しかし同時に、通信の秘密やプライバシー権との衝突、国際法上の位置付けといった難題を抱えていることも否めません。今後の立法過程においては、政府権限の拡大と国民の基本的人権の保障をどのように調和させるかが最大の焦点となるでしょう。

企業法務担当者としては、新制度に基づく情報共有義務やセキュリティ投資への影響を注視し、社内規程や契約実務の見直しを進めることが求められます。能動的サイバー防御は、単なる技術論を超えた「法と政策」の問題であり、その動向が企業活動全般に及ぶ点を見据えて備えることが不可欠です。

上記の対応にあたっては、法律、ITの知識を必要とするため、両分野に精通した弁護士の助力を得ることが有用といえます。

当事務所による対策のご案内

モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。近年、サイバーセキュリティは注目を集めており、リーガルチェックの必要性はますます増加しています。当事務所ではサイバーセキュリティの法的問題に関するソリューション提供を行っております。