サイバー安全保障は「サイバー攻撃から国民生活や重要インフラを守る」だけでなく、同盟協力、法制度、産業競争力まで含む国家戦略の論点として扱われるようになっています。
国際的には、各国が共通して「重要インフラ防護」「官民連携」「供給網・クラウド依存」「ルール形成(国際法・規範)」を軸に政策を組み立てつつ、監視とプライバシー、抑止とエスカレーションなどのトレードオフを抱えています。
日本は国家戦略で能動的サイバー防御の導入や新組織(司令塔)を掲げ、関連法(サイバー対処能力強化法など)を成立させ、施行時期も政府文書で示されています。
企業と個人にとっての現実的な影響は、「報告・連携の要請」「取引先からのセキュリティ要求の高度化」「クラウド・委託先の管理強化」「製品セキュリティの責任シフト」の形で広がります。
なぜ今サイバー安全保障が国家戦略論点なのか
サイバーは「軍事」「経済」「社会基盤」を同時に揺らすため、各国が市場任せ・企業任せの防御だけでは国家目的を達成できない、と考え始めたからです。日本政府の国家戦略文書でも、サイバー安全保障の強化とともに、能動的サイバー防御の導入、政策を一元調整する新組織や法制度整備が明記されています。
背景には、戦争・平時の境界が曖昧なハイブリッドな対立の拡大、サプライチェーン再編、制裁・輸出管理の強化など、地政学と経済安全保障の圧力があります。サイバー攻撃は武力攻撃に至らなくても、国や重要インフラへの安全保障上の懸念を生じさせ得る、という整理が政策文書に置かれています。
従来と何が変わったのかを一言で言うなら、攻撃の狙いが個別企業の金銭や情報に留まらず、社会の停止(港湾・病院・エネルギー等)や有事に備えた潜伏、さらに同盟国の統合抑止にまで接続して語られるようになった点です。日本の戦略文書では、国家を背景とする攻撃が国民生活・経済活動を脅かす「災害のような存在」と表現し、官民連携、通信情報の利用、アクセス・無害化といった制度導入へつなげています。
本記事で扱う範囲は、
①サイバー安全保障の定義と論点整理
②主要国の政策の共通点と差分
③依存関係(クラウド・通信・供給網・規制)のチョークポイント
④日本の制度と企業・生活への影響
です。
用語と枠組み
用語
「サイバーセキュリティ」は、法律上も「情報の漏えい・滅失・毀損の防止」や「情報システム/ネットワークの安全性・信頼性の確保」、そしてそれが維持管理されている状態として定義されます。
一方で「サイバー安全保障」は、サイバーセキュリティを包含しつつ、国家の安全保障(国の安全、重要インフラ、国家機能、外交・同盟)へ直結する観点を前面に出した言い方です。日本の国家戦略パンフレットではサイバー安全保障の項目として、能動的サイバー防御や新組織、法制度整備、運用強化がセットで示されています。
「能動的サイバー防御」は誤解されやすい言葉です。日本政府資料の文脈では、重大なサイバー攻撃のおそれがある場合の未然排除や、発生時の被害拡大防止のために、情報共有・通信情報の活用・侵入/無害化を含む制度整備を指す整理が示されています。
ただし、どこまでが許されるか(通信の秘密、司法・監督の枠組み、対象範囲)は制度設計の核心であり、国内外で議論が分かれます。日本の制度文書は「通信の秘密の尊重」や「権利・自由を不当に制限しない」趣旨を明示し、必要最小限での権限行使を求めています。
本記事の整理軸
サイバー安全保障を国家戦略として理解するには、次の4つの問いで見るのが有効です。
第一に「何を守るのか」。国家文書や国際規範では、重要インフラ、緊急対応組織、供給網、民主主義や人権も含めて論点化されます。
第二に「誰が責任を負うのか」。米国は、エンドユーザーではなく、より能力と立場を持つ主体へ防御の責任を再配分する方針を打ち出しています。
第三に「どの依存関係が弱点(チョークポイント)か」。EUはNIS2でクラウドやDNS、データセンター、海底通信ケーブルなどデジタル基盤を広く射程に含め、供給網リスク評価も制度化しています。
第四に「国際秩序(ルール)をどう形作るのか」。国連の政府専門家グループ(GGE)報告は、国際法の適用、重要インフラの保護、サプライチェーンの完全性、脆弱性報告の促進など、国家行動の規範を提示しています。
世界の争点と政策手段
問題の構造
サイバーが国家間の争点になりやすい理由は、
①攻撃が低コストで国境を越えやすい
②攻撃者の特定(アトリビューション)が難しく政治化しやすい
③民間インフラへの依存が高い
④危機時にエスカレーション管理が難しい
という構造にあります。国連GGE報告でも、起点となるインフラ所在地だけでは特定に不十分な場合があること、国家責任の指摘は技術・法・政治の複合だと整理されています。
それでも各国が規制へ傾くのは、民間任せの自助努力だけでは、社会全体のリスクが下がらないと判断しているからです。米国の国家戦略は、5つの柱を掲げた上で、防御の責任を再配分する方向性を明示しています。
世界のパワーマップ:主要国・地域は何を狙うか
大まかに言うと、米国は「市場と規制を組み合わせて、責任分担・脅威活動の解体・国際連携を進める」方針が目立ちます。国家戦略は、重要インフラ防護、脅威アクターの妨害、セキュリティを促す市場設計、将来投資、国際連携という柱立てです。
軍事面ではU.S. Department of Defenseが、前方防衛(defend forward)や継続的な作戦(campaigning)の文脈でサイバー作戦を位置づけ、他の国家手段と組み合わせた統合抑止を強調しています。
欧州連合は「域内市場のルールを通じて底上げする」アプローチが特徴です。NIS2は加盟国に一定期限までの国内法化を求め、重大インシデントの早期警告(24時間)や通知(72時間)など、報告の時間軸も規定しています。
さらに金融分野ではDORAが適用開始日を定め、デジタル運用レジリエンスを金融規制として位置づけています。
製品(ハード・ソフト)側にはサイバーレジリエンス法(CRA)が導入され、EU市場で提供される「デジタル要素を持つ製品」へ横断的な要求を課す枠組みが整備されています。
一方、中華人民共和国は、データや個人情報の越境・国家安全保障との関係を法制度の中で強く位置づける傾向が読み取れます。たとえば、データの外国当局からの要求は中国当局が「関連法や国際条約等に従って扱う」旨が法文上置かれています。
個人情報についても、国家機関による処理や越境提供、国内保管、国外当局の要求への対応などが条文上整理されています。
(注:ここで示した内容は、公開されている法文の範囲で確認できる事実です。政策意図の評価は解釈が入り得るため、断定は避けています。)
また同盟の側面では、NATOが、サイバー攻撃は現代社会にとって通常戦力並みに害を与え得ること、サイバー防衛が集団防衛の中核任務であること、そしてサイバー空間を作戦領域として認識することを公式文書で確認しています。
依存関係とチョークポイント
国家戦略上の「弱点」は、兵器や工場だけではなく、
①クラウドやDNSなどのデジタル基盤
②海底ケーブル
③ソフトウェア供給網(アップデート、OSS依存)
④緊急対応組織の情報システム
といった形で現れます。国連GGE報告は、重要インフラへの攻撃抑制、供給網の完全性確保、脆弱性報告の促進、緊急対応組織(CERT/CSIRT)への不当な害の禁止などを、国家の責任ある行動の要素として掲げています。
EUのNIS2も、供給網リスク評価をEUレベルで行う可能性を規定し、さらに前文で海底通信ケーブルのサイバーセキュリティを国家戦略に取り込む必要性を述べています。
この流れは「地政学=海上輸送路」だけでなく、「地政学=通信路(ケーブル)とデータ経路」へ広がっている、という点で重要です。
政策手段:各国は何を使って競争しているか
政策手段は、おおむね4類型に整理できます。
規制・標準化としては、NIS2(組織のリスク管理義務・報告義務)やDORA(金融の運用レジリエンス)、CRA(製品セキュリティ)など、法で底上げする手段が拡大しています。
市場の設計としては、米国が責任の再配分を掲げ、より能力のある主体が安全な初期設定・設計(secure-by-design / secure-by-default)を担うべきだという方向性を打ち出しています。
軍事・治安の作戦としては、米国国防分野が前方防衛や継続的な妨害活動を位置づけつつ、意図しないエスカレーションを管理する必要にも言及しています。
ルール形成としては、国連GGEが国際法の適用や規範を整理し、国家責任やアトリビューションが複合的である点も含めて共通理解を深める場を提示しています。
国内の現在地と産業・生活への影響
日本の現在地
日本の国家戦略では、「サイバー安全保障」の項目として、サイバー防御の強化、能動的サイバー防御の導入検討、政策の一元調整組織の設置、法制度整備、運用強化が明記されています。
その流れの中で、内閣官房は関連法(サイバー対処能力強化法・同整備法)が成立・公布したことを公表し、連絡先として司令塔組織を示しています。
司令塔は国家サイバー統括室としてウェブ上でも示され、名称変更等も告知されています。
(補足:旧組織である内閣サイバーセキュリティセンターを発展的に改組して新組織を設置する、という説明は政府資料内で示されています。)
制度面では、サイバー対処能力強化法の施行期日を定める政令で、施行日が示されています(2026年10月1日)。
さらにその基本方針(閣議決定)では、官民連携、通信情報の取り扱い、総合整理分析情報の提供、通信の秘密の尊重など、制度運用の骨格が章立てで整理されています。
脅威認識としては、「国家を背景とした巧妙・高度化した攻撃」が安全保障上の脅威になっているという認識が戦略文書に置かれています。たとえば政府のサイバーセキュリティ戦略(2025)では、中国の関与が疑われるサイバー攻撃グループMirrorFaceによる攻撃キャンペーン、北朝鮮を背景とするグループTraderTraitorによる暗号資産窃取など、具体例が挙げられています。
また同戦略は、宇宙航空研究開発機構などへの攻撃にも触れ、政府機関・重要インフラが標的になりうる点を強調しています。
企業・産業・生活へのインパクト
影響は「一部のセキュリティ企業」だけではなく、広く一般企業にも波及します。理由は、国家が狙うのが国の重要電子計算機、基幹インフラ、供給網であり、そこには多重下請けやクラウド委託が含まれるからです。
具体的には、基幹インフラ事業者等に対して、一定の電子計算機の届出やインシデント報告が制度として示されており、情報共有の枠組みも併設されます。
EUでもNIS2のように、報告のタイムライン(24時間・72時間・1か月)が明記されているため、グローバルに事業を行う企業ほど「報告・通知・証跡」の要求が標準化されやすいと言えます。
もう一つの大きな影響は「製品・サービス提供側の責任増」です。米国は、防御の責任を最も能力と立場を持つ主体へ再配分する方針を示し、EUは製品セキュリティを市場ルール化するCRAを整備しています。
これにより、ソフトウェアベンダー、クラウド提供者、機器メーカー、SIer、さらにはOSSを利用する企業も「設計段階の安全・脆弱性対応・サプライチェーン管理」を契約や調達で求められやすくなります。
個人・生活面では、直接は「重要サービス(医療、物流、行政、決済等)が止まった時の社会的影響」が現実のリスクになります。日本政府の基本方針は、サイバー脅威を国民生活・経済活動を脅かす存在として位置づけ、政府が積極的に役割を発揮する方向を明示しています。
トレードオフと実装上の壁
ここは誤解されやすい論点なので、先回りして整理します。
第一のトレードオフは「安全保障強化 vs. 通信の秘密・権利保護」です。日本の制度説明資料では、重大攻撃の未然排除や無害化に必要な権限の付与と同時に、通信の秘密への配慮や、権利・自由を不当に制限しない趣旨が繰り返し示されています。
第二のトレードオフは「規制強化 vs. イノベーションとコスト」です。米国戦略は規制による水準底上げを示しつつ、コストや能力に差がある主体をどう支えるかにも触れています。EUもNIS2やDORAで報告・統制を強めていますが、実装には人材・監査・運用の負荷が伴います。
第三の壁は「官民の情報共有の難しさ」です。攻撃情報は機微性が高く、共有には守秘や法的な保護、信頼の枠組みが要ります。国連GGEも、国家だけでなく民間・学術・市民社会の適切な参加が国際協力を助けると述べています。
今後のシナリオと注目ポイント
ここから先は推測です。ただし推測の根拠となる政策方向は、各国の一次資料で確認できます。
・管理された競争が続くシナリオ
各国は、重要インフラ・供給網・製品セキュリティを中心に規制と協力を同時進行させ、サイバー空間を「作戦領域」として扱いながらも、国際法・規範の枠で管理された競争を目指す展開です。根拠として、米国は5本柱で国際連携を明示し、国連GGEも国連場裡での共通理解深化を推奨しています。
・ブロック化が進むシナリオ
データ越境、クラウド依存、サプライチェーン規制が地政学と結びつき、規制・標準が陣営ごとに分岐しやすい展開です。中国法制では外国当局のデータ要求への扱いが条文上整理され、EUは市場ルールで製品・組織を底上げするため、制度の相互運用性が政治課題になり得ます。
・緊張緩和と再接続が進むシナリオ
重大インシデント時の連絡網(PoC)や協力枠組みが整い、意図しないエスカレーションを避ける実務が積み上がる展開です。国連GGE報告はPoCネットワークを危機時の誤解回避に資する手段として扱っています。
分岐を決める注目ポイントは、
(A)日本の能動的サイバー防御関連制度の運用と監督の実効性
(B)EUのNIS2/CRA/DORAが現場の運用に落ちる速度
(C)米国の責任再配分(secure-by-design等)が調達・製品慣行として定着するか
(D)国連の規範プロセスが実装(実務)まで進むか
です。
よくある疑問Q&A
Q1. サイバー安全保障は「国家がネットを監視する話」なのですか?
A. 一部の政策手段として通信情報の取り扱いが論点になりますが、サイバー安全保障の全体像はそれだけではありません。重要インフラの防護、官民連携、供給網、製品設計、国際協力がセットで議論されています。
Q2. 能動的サイバー防御は「攻撃者へのハッキングを合法化する」ことですか?
A. 誤解が生じやすい点です。政府資料では、未然排除や被害拡大防止のための制度(官民連携、通信情報の利用、アクセス・無害化等)を設計する話として示され、同時に通信の秘密や権利の不当制限を避ける趣旨も明示されています。
Q3. 「サイバー攻撃=戦争」なのでしょうか?
A. 常にそうとは言えません。NATOはサイバー攻撃が重大な害になり得ることを述べていますが、国連GGE報告は国際法の原則(主権、人権、武力不行使等)の枠で議論する必要を示し、アトリビューションや責任追及が複合的である点を強調しています。
Q4. 企業にとって「一番現実的な変化」は何ですか?
A. 多くの場合、「報告・通知」「委託・供給網管理」「設計・初期設定の責任」「監査証跡」の要求が増えます。EUのNIS2は報告期限を法で定め、米国は責任の再配分を掲げています。日本でも官民連携やインシデント報告等の制度設計が資料で示されています。
Q5. なぜEUはNIS2やCRAのような「規制」を重ねるのですか?
A. EUは域内市場の共通ルールで底上げする思想が強く、組織のインシデント報告・リスク管理(NIS2)と、製品そのもののサイバー要件(CRA)を分けて整備しています。
Q6. 国際的なルールは本当にあるのですか?
A. 条約のように強制力のある統一ルールが全面的に確立している、とは言えません。一方で国連GGE報告は、国際法の適用を前提に、重要インフラを意図的に損なう行為の抑制、供給網の完全性、脆弱性報告などの「自発的・非拘束の規範」を提示しています。
Q7. 日本は何を優先して見るべきですか?
A. 第一に、能動的サイバー防御関連制度の運用(通信の秘密・監督・官民連携の実効性)です。第二に、重要インフラや供給網(クラウド/ソフトウェア/通信路)の依存関係を、企業横断で可視化できるかです。第三に、国際規制(NIS2/DORA/CRA等)が取引や監査要求として国内に波及する速度です。
結論
サイバー安全保障と国家戦略の本質は、「国家は、デジタル基盤(通信・クラウド・ソフトウェア供給網)を公共財として扱わざるを得なくなり、責任と権限の再設計を始めた」という点にあります。
最重要の依存関係は、単一の技術よりも「複合依存(委託・クラウド・供給網・運用人材)」です。国連GGEが供給網の完全性や脆弱性報告を規範に含め、EUが供給網リスク評価や報告義務を制度化するのは、その複合依存が国家リスクになるからです。
日本の現実的な選択肢は、「権限強化」だけでも「民間任せ」だけでもなく、官民連携・監督・権利保護を同時に成立させる制度運用の成熟です。政府資料が必要最小限や通信の秘密への配慮を明示しているのは、その実装が信頼の前提になるためです。
参考
- 内閣官房(2022)『国家安全保障戦略(パンフレット)』内閣官房、
https://www.cas.go.jp/jp/siryou/221216anzenhoshou/national_security_strategy_2022_pamphlet-ja.pdf(閲覧日:2026-04-06) - 内閣官房(2026)『サイバー安全保障に関する取組(能動的サイバー防御の実現に向けた検討など)』内閣官房、
https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/index.html(閲覧日:2026-04-06) - 内閣府(2025)『重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針(閣議決定)』内閣府、
https://www.cao.go.jp/cybersecurity/pdf/kihonhoushin.pdf(閲覧日:2026-04-06) - 内閣府(2025)『重要電子計算機に対する不正な行為による被害の防止に関する法律の施行期日を定める政令』内閣府、
https://www.cao.go.jp/cybersecurity/pdf/sekoukijitsu.pdf(閲覧日:2026-04-06) - 国家サイバー統括室(2025)『サイバーセキュリティ戦略(2025)』国家サイバー統括室、
https://www.cyber.go.jp/pdf/policy/kihon-s/cs_strategy2025.pdf(閲覧日:2026-04-06) - 内閣官房 国家サイバー統括室(2025)『サイバー対処能力強化法及び同整備法について(説明資料)』内閣官房、
https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/pdf/setsumei.pdf(閲覧日:2026-04-06) - United Nations General Assembly(2015)“Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security (A/70/174)” United Nations、
https://nsarchive.gwu.edu/sites/default/files/documents/20685801/07.pdf(閲覧日:2026-04-06) - United Nations General Assembly(2021)“Report of the Group of Governmental Experts on Advancing responsible State behaviour in cyberspace in the context of international security (A/76/135)” United Nations Office for Disarmament Affairs、
https://front.un-arm.org/wp-content/uploads/2021/08/A_76_135-2104030E-1.pdf(閲覧日:2026-04-06) - North Atlantic Treaty Organization(2016)“Warsaw Summit Communiqué” NATO、
https://www.nato.int/en/about-us/official-texts-and-resources/official-texts/2016/07/09/warsaw-summit-communique(閲覧日:2026-04-06) - The White House(2023)“National Cybersecurity Strategy” The White House、
https://bidenwhitehouse.archives.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf(閲覧日:2026-04-06) - U.S. Department of Defense(2023)“2023 DoD Cyber Strategy Summary” Department of Defense、
https://media.defense.gov/2023/Sep/12/2003299076/-1/-1/1/2023_DOD_Cyber_Strategy_Summary.pdf(閲覧日:2026-04-06) - European Parliament and the Council(2022)“Directive (EU) 2022/2555 (NIS2)” Official Journal of the European Union、
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022L2555(閲覧日:2026-04-06) - European Securities and Markets Authority(2025)“Digital Operational Resilience Act (DORA)” ESMA、
https://www.esma.europa.eu/esmas-activities/digital-finance-and-innovation/digital-operational-resilience-act-dora(閲覧日:2026-04-06) - European Commission(2025)“The Cyber Resilience Act – Summary of the legislative text” European Commission(Shaping Europe’s digital future)、
https://digital-strategy.ec.europa.eu/en/policies/cra-summary(閲覧日:2026-04-06) - European Parliament and the Council(2024)“Regulation (EU) 2024/2847 (Cyber Resilience Act)” EUR-Lex、
https://eur-lex.europa.eu/eli/reg/2024/2847/oj/eng(閲覧日:2026-04-06) - National Institute of Standards and Technology(2024)“NIST Releases Version 2.0 of Landmark Cybersecurity Framework” NIST、
https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework(閲覧日:2026-04-06) - Pascoe, C., Quinn, S., Scarfone, K.(2024)“The NIST Cybersecurity Framework (CSF) 2.0” NIST Cybersecurity White Papers, DOI:
10.6028/NIST.CSWP.29(閲覧日:2026-04-06) - Cybersecurity and Infrastructure Security Agency(2023)“Principles and Approaches for Security-by-Design and -Default” CISA、
https://www.cisa.gov/sites/default/files/2023-04/principles_approaches_for_security-by-design-default_508_0.pdf(閲覧日:2026-04-06) - Supreme People’s Procuratorate(2021)“Data Security Law of the People’s Republic of China” SPP(英語条文)、
https://en.spp.gov.cn/2021-06/10/c_948426_2.htm(閲覧日:2026-04-06) - Supreme People’s Procuratorate(2021)“Personal Information Protection Law of the People’s Republic of China” SPP(英語条文)、
https://en.spp.gov.cn/2021-12/29/c_948419_2.htm(閲覧日:2026-04-06) - 外務省(2026)「Cybercrime」外務省、
https://www.mofa.go.jp/fp/is_sc/pagewe_000001_00080.html(閲覧日:2026-04-06)
コメント