能動的サイバー防御(ACD:Active Cyber Defense)とは、サイバー攻撃を受ける前に先制的に対策を講じる新たなセキュリティ対策のことです。
近年、サイバー攻撃の高度化や重要インフラへの攻撃増加などの事象を背景に、多くの国や企業で能動的サイバー防御の導入が進んでいます。日本国内では2024年末に関連法案が閣議決定されたことでも大きな話題となりました。
しかし、能動的サイバー防御には、プライバシーに対する配慮や国際的な摩擦を引き起こしてしまうリスクなども孕んでおり、導入にあたっては注意しなければならないポイントもいくつか存在します。
本記事では、能動的サイバー防御の基本的な意味や法案の内容解説に加えて、昨今注目されている理由から具体的な対策方法まで、まとめて徹底的に解説していきます。
この記事を読むだけで、能動的サイバー防御の全体像をまるごと理解することができるため、サイバーセキュリティ強化や情報セキュリティ対策に悩んでいるBtoB企業の担当者には必見の内容です!
目次
能動的サイバー防御とは?
能動的サイバー防御とは、サイバー攻撃の兆候を事前に検知することで、攻撃者に先んじてセキュリティ対策を講じる攻めの防御戦略のことです。英語では「Active Cyber Defense(ACD)」と表現されます。
能動的サイバー防御は、これまでの「攻撃を受けてから対応する」受動的防御とは異なり、攻撃の兆候を検知した時点で「先手を打って対策を講じる」ことができるのが大きな特徴です。
たとえば、不審なポートスキャンや脆弱性調査の活動を検知した場合、能動的サイバー防御では、即座にファイアウォール設定を強化したり、該当するIPアドレスをブロックリストに追加したりします。
また、組織内に意図的におとりのシステム(ハニーポット)を設置することで、攻撃者が脆弱性にアクセスしたときには即座にアラートを発信させ、攻撃手法や目的を分析することもできるようになります。
昨今では、国家や企業を問わず、サイバーセキュリティの「守り」から「攻め」への転換を象徴する考え方として、大きな注目が集まっています。
能動的サイバー防御と受動的防御の違い
| 比較項目 | 能動的サイバー防御 | 受動的サイバー防御 |
|---|---|---|
| 防御スタンス | 攻撃が発生する前に対処 (先制・予防) | 攻撃が発生した後に対処 (検出・対応) |
| タイミング | 事前段階での積極的な行動 | 攻撃段階での受動的な対応 |
| 実施目的 | 脅威の予測や抑止 | 被害の最小化 |
| 実施主体 | 政府機関や一部大企業で導入可能 | 規模を問わず企業全般で導入可能 |
| 使用する技術 | ハニーポット/SIEM/サンドボックス/脅威インテリジェンス等 | ファイアウォール/アンチウイルス/WAF/バックアップシステム等 |
| 導入の難易度 | 高い | 低い |
| 導入のコスト | 高い | 安い |
能動的サイバー防御は、従来の受動的なセキュリティ対策とは、根本的に考え方が異なる概念です。
従来までの受動的防御は、ファイアウォールやウイルスソフトなどの防御ツールを設置して被害を最小限に抑える「待ち受ける防御」に主眼が置かれていました。
一方で能動的サイバー防御は、脅威インテリジェンスや異常検知技術を活用して攻撃を仕掛ける前に対策を講じる「先手を打つ防御」が基本的な対策軸となります。
能動的サイバー防御が注目される背景
能動的サイバー防御が注目される背景としては、主に以下の3つの社会的背景が挙げられます。
- サイバー攻撃の多様化と高度化
- 重要インフラへの脅威の活発化
- 国家を背景とした攻撃の深刻化
サイバー攻撃の多様化と高度化
能動的サイバー防御が注目される理由の1つ目としては「サイバー攻撃の多様化と高度化」というものが挙げられます。
近年のサイバー攻撃は、ランサムウェアやゼロデイ脆弱性を悪用する手法など、従来の受動的なセキュリティ対策では、検知や防御が困難なレベルにまで高度化を見せています。
たとえば、2024年にKADOKAWAグループが受けたサイバー攻撃では、ニコニコ動画をはじめとする複数のサービスが長期間停止したうえ、サービスに登録していた約25万人以上の個人情報が漏えいしたことで、利用者の信頼失墜を招きました。
▶ 参考:KADOKAWA、サイバー攻撃で特損36億円 補償・復旧に(日本経済新聞)
重要インフラへの脅威の活発化
能動的サイバー防御が注目される理由の2つ目としては「重要インフラへの脅威の活発化」というものが挙げられます。
電力・物流・通信・金融・医療などの重要インフラは、国民生活や経済活動の基盤となる極めて重要なシステムであり、日本国内でも複数のインフラ事業者が標的となっています。
たとえば、2023年に名古屋港で発生したランサムウェア攻撃では、攻撃対象となった港湾システムが約3日間にわたって停止し、コンテナ約2万本の出荷が滞ったことで、サプライチェーンを通じて日本の経済全体へ深刻な影響をもたらしました。
▶ 参考:名古屋港の活動停止につながったランサムウェア攻撃~今一度考えるその影響と対策(Trend Micro)
国家を背景とした攻撃の深刻化
能動的サイバー防御が注目される理由の3つ目としては「国家を背景とした攻撃の深刻化」というものが挙げられます。
近ごろでは、単なる愉快犯や金銭目的の犯罪グループではなく、国家的な支援を受けた組織的なサイバー攻撃が増加しており、従来の防御手法では対応が困難な状況となっています。
たとえば、2020年にアメリカで発覚したSolarWinds事件では、ロシアの政府系ハッカー集団が同社のビジネスソフトウェアへのアクセスを悪用して、マルウェアを含む不正なアップデートを配布し、政府機関や民間企業に甚大な被害を与えました。
▶ 参考:サプライチェーンに脅威を与えたSolarWinds事件から2年、影響は今も続く(Google Cloud)
能動的サイバー防御の具体的な仕組み
能動的サイバー防御の具体的な仕組みとしては、主に以下の3つのステップが挙げられます。
- ①:攻撃の検知と監視
- ②:攻撃者の特定と追跡
- ③:脅威の無害化措置の実施
①:攻撃の検知と監視
能動的サイバー防御における第一段階のステップは「攻撃の検知と監視」です。
攻撃を未然に防ぐためには、ネットワーク内外の通信を常時監視し、不審な兆候をリアルタイムで把握する「常時監視の体制構築」が必要不可欠です。
具体的には、SIEMやEDRなどのセキュリティシステムを用いて、ログの解析や挙動ベースの検知を行い、平常時とのギャップを発見するといった手法が挙げられます。
②:攻撃者の特定と追跡
能動的サイバー防御における第二段階のステップは「攻撃者の特定と追跡」です。
単なる検知で終わらせず、攻撃者の意図や行動パターン、背後にあるインフラなどを詳細に解析することで「再発防止や反撃の材料」を得ることが可能です。
具体的には、ハニーポット(おとり用のサーバー)を設置して、攻撃者のアクセスを意図的に誘導し、IPアドレスやマルウェアの挙動を記録するといった手法が挙げられます。
③:脅威の無害化措置の実施
能動的サイバー防御における第三段階のステップは「脅威の無害化措置の実施」です。
攻撃者の行動や意図を把握したうえで、アクセスの遮断や悪性ファイルの隔離、バックドアの除去などを行う「脅威の無害化と防御強化」が重要になります。
具体的には、感染が疑われる端末をネットワークから自動的に切断したり、クラウド上に保存してあるデータを暗号化して一時的に保護したりなどの手法が挙げられます。
能動的サイバー防御のメリット
能動的サイバー防御のメリットとしては、主に以下の3つのメリットが挙げられます。
- 攻撃被害の最小化が可能になる
- インシデント対応が迅速になる
- 国家レベルで防衛力が向上する
攻撃被害の最小化が可能になる
能動的サイバー防御の1つ目のメリットとしては「攻撃被害の最小化が可能になる」というものが挙げられます。
近年のサイバー攻撃は高度化を極めており、従来の受動的な対応だけでは、被害の拡大を防ぐことが困難であり、初動の遅れが大きな損失を引き起こしてしまいます。
能動的サイバー防御では、ハニーポットやディセプション技術などを活用して、攻撃者を意図的に誘導することで、実システムへの侵入を未然に防ぐことができます。
インシデント対応が迅速になる
能動的サイバー防御の2つ目のメリットとしては「インシデント対応が迅速になる」というものが挙げられます。
従来のセキュリティ体制では、攻撃が完了した後の対応に多くの時間を要する傾向があり、対応の遅延によって、情報漏洩やシステム停止などの問題が発生していました。
能動的サイバー防御では、リアルタイムの監視や脅威インテリジェンスの活用により、攻撃の兆候を事前に察知し、即時対応が可能になる体制を構築することができます。
国家レベルで防衛力が向上する
能動的サイバー防御の3つ目のメリットとしては「国家レベルで防衛力が向上する」というものが挙げられます。
国家規模でのサイバーセキュリティ戦略においては、能動的なセキュリティ対策は、他国からの攻撃に対する、抑止力としても大きな効果を発揮するものと考えられます。
近年では、日本や米国を含む多くの国が「Active Cyber Defense」や「先制的サイバー抑止」などの概念を戦略に盛り込んでおり、国家規模での防衛体制強化が進められています。
能動的サイバー防御のデメリット
能動的サイバー防御のメリットとしては、主に以下の3つのメリットが挙げられます。
- 誤検知や過剰防衛のリスクがある
- 国際的な摩擦を生む可能性がある
- プライバシーに配慮する必要がある
誤検知や過剰防衛のリスクがある
能動的サイバー防御の1つ目のデメリットとしては「誤検知や過剰防衛のリスクがある」というものが挙げられます。
AIや機械学習を活用する防御システムでは、学習精度が不十分な場合やノイズが多い通信環境下においては、正常な通信を誤って外部攻撃と判定するリスクがあります。
例えば、正規のアクセスを外部からの攻撃と誤認してしまうと、業務に重大な支障をきたすのみならず、対応における優先度の判断も複雑になってしまう可能性があります。
解決策としては。システムにおける検知ルールを設定し、誤検知を減らすためのブラックリストやホワイトリストを活用する方法や、検知後の一部プロセスに人間の確認フローを挟む方法などが挙げられます。
国際的な摩擦を生む可能性がある
能動的サイバー防御の2つ目のデメリットとしては「国際的な摩擦を生む可能性がある」というものが挙げられます。
能動的な防御には、攻撃者の活動を逆探知し、意図的に妨害するハッキング技術などが含まれる場合があり、国際法や外交上の問題に発展するケースが考えられます。
例えば、国外IPアドレスへの調査行為や能動的な通信傍受などがサイバー反撃とみなされてしまうと、他国との外交的なトラブルや信頼関係の悪化を招く可能性があります。
解決策としては、サイバー防御に関する国内外の法律を遵守するフレームワークを整備する方法や、政府機関や国際組織と連携して、過剰な反応を避ける中立的な行動指針を明確にする方法などが挙げられます。
プライバシーに配慮する必要がある
能動的サイバー防御の3つ目のデメリットとしては「プライバシーに配慮する必要がある」というものが挙げられます。
能動的サイバー防御では、脅威検知のためにユーザーの通信内容やログのデータを詳細に解析する仕組みがあり、プライバシーや人権とのバランスを取る必要があります。
例えば、社内LANの端末を監視対象とする場合、従業員や顧客のデータが無断で収集されるリスクもあり、場合によっては個人情報保護法(GDPR)に抵触する可能性があります。
解決策としては、監視対象や収集目的などを明確に定義したセキュリティポリシーを策定する方法や、関係者への周知と同意を取得して、それらのデータを匿名化・マスキング処理する方法などが挙げられます。
能動的サイバー防御法案の内容
2024年末に閣議決定された日本の能動的サイバー防御法案は、サイバー空間における国家安全保障の強化を目的としています。ここからは以下の3つの観点から、法案の概要について解説していきます。
能動的サイバー防御法案の主な目的
本法案の最大の特徴は「通信の事前取得によるサイバー攻撃の阻止を合法化した点」といえるでしょう。
従来の枠組みでは、民間や行政機関が攻撃者の活動を追跡・解析する行為が「通信の秘密」や「不正アクセス禁止法」などの規制に抵触する恐れがあったため、犯罪行為が発生してからの受動的な対応が主流となっていました。
新たな法案では、攻撃の兆候を察知した時点で能動的に通信を遮断・分析できる体制の整備が進められており、国家の重要インフラにおける正当な防衛に限り、一定の能動的防御行為を容認する枠組みを整備しようとしています。
▶ 参照:能動的サイバー防御に係る制度構築の方向性と課題 | 参議院
能動的サイバー防御法案の対象範囲
本法案の防衛対象は、主に「政府機関のネットワークや重要インフラ事業者」に限定されています。
特に、電力・通信・金融などの重要インフラの保護を目的として、これらの攻撃リスクの高い組織においてネットワーク上の異常な振る舞いや不審な通信を「能動的に分析できるよう対象を限定した運用」が前提とされています。
今のところ、民間企業全体への適用は想定されておらず、あくまで国家の安全保障に関わる重大な被害を防ぐための「限定的かつ計画的な運用」を前提として整備が進められています。
能動的サイバー防御法案の実施主体
本法案の実施主体は、主に「内閣サイバーセキュリティセンター(NISC)」が担当することになります。
NISCは国家におけるサイバー防衛の司令塔として、通信傍受の要請権や技術的調査の指揮権限を保持しており、防衛省の専門部隊や通信事業者との連携によって「リアルタイムな脅威共有と対応の枠組み」が整備される予定です。
また、能動的な防衛が違法行為とならないために、行動ログの保存や第三者機関による監視、報告義務の厳格化などの「透明性と法的正当性」を担保するための措置も検討されています。
能動的サイバー防御に関するよくある質問 | FAQ
導入と制度化が進むなかで、能動的サイバー防御に関する疑問や質問も数多く寄せられています。ここからは、特に重要な下記の3つの質問に対して回答していきます。
- Q:能動的サイバー防御は民間企業でも実施できる?
- Q:能動的サイバー防御のコストや導入時期はどれくらい?
- Q:能動的サイバー防御と既存のセキュリティ対策との関係は?
Q:能動的サイバー防御は民間企業でも実施できる?
A:原則として、民間企業が独自に能動的サイバー防御を実施することは認められていないのが現状です。現時点で企業に求められていることは「能動的防御の実行」ではなく「政府支援と協力体制の整備」という立ち位置での参加です。
現行法では、通信の秘密や不正アクセス禁止法の観点から、攻撃元のシステムにアクセスしたり、意図的に妨害行為を行うことは違法行為と見なされる可能性があります。
例えば、ハッキング・バック(報復的な侵入)や不審な相手にマルウェアを送り返すような行為は、たとえ防御目的であっても刑事罰の対象となる恐れがあるため注意が必要です。
Q:能動的サイバー防御のコストや導入時期はどれくらい?
A:能動的サイバー防御の導入には、一般的なセキュリティ対策と比較して高額なコストが発生する傾向にあります。今のところ導入自体は国家主導ですが、関連するセキュリティ対策には相応の初期投資が必要になるでしょう。
能動的サイバー防御には、AIによる脅威検知エンジンやハニーポットなど、高度なシステムと専門人材の確保が求められるため、一般的なセキュリティ対策と比較して高額なコストが発生します。
例えば、大規模な企業や重要インフラ事業者では、初期導入費用で数千万円規模、年間の運用コストでも数百万円規模にのぼるケースが一般的で、中小企業が単独で導入するのは難しいのが現状です。
Q:能動的サイバー防御と既存のセキュリティ対策との関係は?
A:能動的サイバー防御は、既存のセキュリティ対策を補完・強化する次世代型の防御アプローチとして位置づけられています。能動的サイバー防御があるからといって、既存の対策がまったく不要になるというわけではありません。
ファイアウォールやウイルス対策ソフト、EDRといった既存のセキュリティ対策は引き続き不可欠ですが、既存の対策だけでは高度なサイバー攻撃には対応しきれないケースも増えてきています。
既存の対策に加えて、能動的に脅威を分析するプロセスを取り入れることで、防御の多層化が可能になるため、能動的防御を導入する場合でも、既存の対策を前提とした全体設計が必要不可欠です。
まとめ
本記事では、能動的サイバー防御の基本的な意味や法案の内容解説に加えて、昨今注目されている理由から具体的な対策方法まで、まとめて徹底的に解説していきました。
能動的サイバー防御は、サイバー攻撃の「被害発生を前提とした受動的対応」から「被害を未然に防ぐ積極的対応」への転換点となる考え方です。
特にBtoB企業では、取引先からの信頼確保やサプライチェーンリスクの対策、セキュリティガバナンスの強化が求められるなか、準能動的な対応体制の構築は急務です。
今後は、能動的サイバー防御が競争力の一部として取引基準に組み込まれる時代になる可能性も見据えて、自社のセキュリティ方針を再点検することが求められています。
今後もITreview では、日々進化を続けるSaaS市場の最新情報について、ユーザーの皆様へ真に価値あるコンテンツをお届けしていきます。ツールの選定にお悩みの方や最新トレンドに関心のある方などは、ぜひ次回の記事もご覧ください。
