抄録
日本は2025年5月に「サイバー対処能力強化法」1及び関連整備法が国会手続を経て成立し、能動的サイバー防御(Active Cyber Defense: ACD)を制度として実装する局面に入った。これにより官民連携、通信情報の利用、アクセス・無害化措置を含む対応能力の強化が求められる一方、制度の実効性はサプライチェーン全体に波及する。とりわけ、基幹インフラ等の利用者・供給者を含む広範な事業者が関与し得るため、資源制約の大きい中小企業にも遵守対応(体制整備、報告・監査対応、取引要件への適合等)が及ぶ可能性が高い。本稿は、日本と米国・ドイツの制度を比較しつつ、ACDを支える「厳格なコンプライアンス認証」と「クリアランス(情報保全)制度」の組合せに着目し、日本の実装上の論点と中小企業への影響・対策を整理する。あわせて、制度の成熟に要する時間を踏まえ、成立した枠組みを起点に早期に運用・支援を立ち上げる必要性から、今後3年程度を一つの実装目標として位置付け、法規制整備と支援策、共同防衛(集団防衛)モデルの導入を政策提案として示す。さらに、経済安全保障分野におけるセキュリティ・クリアランス(適性評価、適合事業者等)の枠組みを参照し、ACD下での情報取扱い高度化と中小企業の参加条件を具体化する。
