第3回「能動的サイバー防御（ACD：Active Cyber Defense）はどこから来たのか」

2025年5月16日、サイバー攻撃を未然に防ぐ「能動的サイバー防御」を導入するための法律「サイバー対処能力強化法」が、参議院本会議で可決・成立した。

本稿では、米国の「Active Cyber Defense」と日本の「能動的サイバー防御」を比較し、国内ならではの地理的記載など、米国にはない部分をピックアップ。

また、米国側にしかない部分、主に軍需面の攻撃の話なども併せて確認したい。

米国Active Cyber Defenseとは何か
2016年ジョージ・ワシントン大学のACDプロジェクトとは
ACD戦略で必要な「OODAループ」とは
2022年日本の「能動的サイバー防御」は米国ACDの日本語訳から来た
2024年内閣官房サイバー安全保障体制整備準備室が、サイバー対処能⼒強化法（案）を作成
国外が関係する通信、関係しない通信とは何か
物理的な「インターネットのインフラ」
憲法が保障する「通信の秘密」を不当に制限しないとサイバー対処能力強化法では明記

米国Active Cyber Defenseとは何か

米国Active Cyber Defense（以降、ACD）は、2011年にバージニア州のアーリントンにある、アメリカ国防総省（The Department of Defense: DOD/通称:ペンタゴン）が、ネットワークとシステムを守る新しい戦略として発表した。（図1参照）

この戦略は、サイバー空間で「機動的に反撃」をするためのもので、リアルタイムで攻撃を検知・分析し、ネットワークや国の境界を越えた合法的な対策や、積極的なACDの使用を組み合わせて、ネットワーク・セキュリティ侵害を軽減させるものである。

図1. ACD戦略と2014年に実際にあったサイバー攻撃　出典：wedge/FBI（2025年4月）

実際にあったサイバー攻撃の事例では、中国の攻撃グループ「APT1」の実行犯として将校5名を、後に、中国、ロシア、北朝鮮、イランのサイバー攻撃者を相次いで特定して司法訴追した。

この5人の将校は中国人民解放軍の61398部隊に所属し、米情報セキュリティ企業マンディアント（Mandiant※）は2013年、同部隊が上海郊外にある目立たない12階建てのビルに拠点を置き、知的財産や政府の機密情報を盗み出すため、数千人の職員が勤務していると報告している。

※Mandiantは、バージニア州レストンを拠点とし、2004年にケビン・マンディアが設立した企業。
データセキュリティ侵害が発生した際に、インシデント対応サービスを提供する企業である。
その後、2013年にFireEyeに買収されるが、2021年には売却され、Mandiantとして再出発した。
Google（ニューヨーク）は2022年9月、Mandiantの買収を完了し、買収金額は約54億ドル（7700億円）にのぼった。

2016年ジョージ・ワシントン大学のACDプロジェクトとは

2016年ジョージ・ワシントン大学のプロジェクトでは、自己のネットワーク内を「受動的防御」、攻撃者のネットワーク内での妨害・破壊を「サイバー攻撃」と位置付け、その間の自己のネットワーク外において行われる様々な対策を「ACD」と位置付けた。

ACDの概念をさらに精緻化したのは、デニス・ブレア元国家情報長官、マイケル・チェルトフ元国土安全保障省（DHS）長官が参加した、「ジョージ・ワシントン大学のACDプロジェクト」である。

2018年アメリカにおけるACD戦略は、トランプ政権下、「国家サイバー戦略2018」において、技術対処に加えて政策的対処を行うことが盛り込まれ、ほぼ完成形になった。

図2.2016年ジョージ・ワシントン大学のプロジェクト出典：wedge（2025年4月）

ACD戦略で必要な「OODAループ」とは

ACDは、「OODAループ※」（ウーダ・ループ）を回して、サイバー攻撃者へ対応していく。

国家が関与するサイバー攻撃に対しては、アトリビューション（サイバー攻撃をしかけてきた相手を突き止めること）を特定し決定を行う。

サイバーで反撃、制裁、外交的な措置、司法訴追といったオペレーションをとる。技術的には、通信のブロックやサーバーのテイクダウン、ハックバック（被害者から加害者へ同様の攻撃をすること）といったオペレーションも同時に行われる。

※OODAループは、意思決定と行動に関する理論で、アメリカ空軍のジョン・ボイド大佐により提唱された。
元々は航空戦に臨むパイロットの意思決定を対象としていたが、作戦術・戦略レベルに、更にビジネスや政治など様々な分野でも導入されており、現在では一般理論となっている

図3. ACD戦略で必要な「OODAループ」とは　出典：Wikipedia/電巧社（2025年4月）

2022年日本の「能動的サイバー防御」は米国ACDの日本語訳から来た

日本の「能動的サイバー防御」は、「国家安全保障戦略」（2022年12月国家安全保障会議決定、閣議決定）で命名された。

「サイバー空間の安全かつ安定した利用、特に国や重要インフラ等の安全等を確保するために、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる」と明記された。

この「国家安全保障戦略」では、2016年のジョージ・ワシントン大学のプロジェクトの“Cyber Operations（サイバー作戦）”（図４参照）を引用し、自己の情報ネットワーク内における対策を“Passive Defense”、攻撃者の情報ネットワーク内での妨害・破壊”Offensive Cyber（サイバー攻撃）”とそれぞれ位置付け、両者の間のグレーゾーンにある対策を“Active Defense”と整理した。

IT業界では、MicrosoftのActive Directory（2000年発表）を、「能動的ディレクトリ」とは翻訳しなかった。

一方、Activeを「能動」と命名した閣議決定は、海外のものとは異なるという意思が伝わってきて新鮮である。

図4. 能動的サイバー防御は、ACDの日本語訳から来た　出典：国立大学法人政策研究大学（2025年4月）

2024年内閣官房サイバー安全保障体制整備準備室が、サイバー対処能⼒強化法（案）を作成

内閣官房サイバー安全保障体制整備準備室が、サイバー対処能力強化法（案）を作成し、5月16日にサイバー攻撃を未然に防ぐ「能動的サイバー防御」を導入するための法律が、参議院本会議にて与野党の賛成多数で可決・成立した。

この法律は、「サイバー対処能力強化法案※1及び同整備法案※2」という正式名称がある。前述の米国のACDと比較すると、米国「重要インフラサイバーインシデント報告法」(2022年)が国内でも「基幹インフラ事業者がインシデント報告」として採用され、軍需面でのサイバー攻撃の反撃に関してまでは、法律として具体的に公開されなかった。

本法律では、「基幹インフラ事業者（249）※3がサイバー攻撃を受けた場合、政府への情報共有や政府から民間事業者等への情報共有、対処支援等の取組を強化する必要がある。

また、それに伴い「罰則の整備」（図５参照）が実施され、「基幹インフラ事業者がインシデント報告を行わない、是正命令を受けても尚対応しない場合は、200万円以下の罰金」が課せられることとなった。

3カ月間で事業者の追加があり、今後も見直しが発生すると考えられる。

また、ガイドラインが策定されると、249者の各種委託先も本法律の対象範囲にどのように関与するのか、明確になると思われる。

※1 重要電子計算機に対する不正な行為による被害の防止に関する法律（令和７年法律第42号）
※2 重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律（令和７年法律第43号）
※3 基幹インフラ事業者（249）は、2025年2月内閣官房、サイバー安全保障体制整備準備室にて計213者が指定された事業者。2025年5月13日に、計249者は内閣府が特定社会基盤事業者として追加指定した