【詳細解説】2025年サイバーセキュリティ戦略における能動的サイバー防御への転換と中小企業エコシステムへの深層的影響

2025.12.23

【詳細解説】2025年サイバーセキュリティ戦略に能動的サイバー防御への転換と中小企業エコシステムへの深層的影響

2025.12.23
生成AIにより原案作成
東京都　加筆訂正

エグゼクティブサマリー

2025年12月23日、日本政府は新たな「サイバーセキュリティ戦略」を閣議決定した1。この戦略は、従来の「防御・復旧」を中心とした受動的な姿勢から、脅威を未然に排除する「能動的サイバー防御（Active Cyber Defense: ACD）」へと国家の安全保障ドクトリンを根本的に転換する歴史的な分水嶺となるものである。ロシア・ウクライナ戦争におけるハイブリッド戦の教訓や、中国・北朝鮮を背景とする国家支援型サイバー攻撃集団（APT）による重要インフラへの脅威増大を受け、日本はサイバー空間を陸・海・空・宇宙に続く「第5の戦場」として完全に定義し直した2。

本戦略の核心は、憲法第21条「通信の秘密」との整合性を慎重に図りつつ、平時から国が通信情報を監視・分析し、攻撃の予兆を検知した段階で相手方サーバーへの侵入・無害化（ハッキングバックを含む無力化措置）を可能にする法的権限の行使にある1。これを実行するため、政府は内閣サイバーセキュリティセンター（NISC）を発展的に解消し、強力な司令塔機能を持つ「国家サイバー統括室（National Cyber Office: NCO）」を新設、警察庁および自衛隊との連携による対処体制を構築する1。

この国家戦略の転換は、日本経済の屋台骨である中小企業（SME）に対して、かつてない規模の構造変革を迫るものである。新戦略は「サプライチェーン全体での防御」を絶対条件として掲げており、大企業や重要インフラ事業者に対して、その取引先である中小企業のセキュリティ対策状況を厳格に管理・評価することを事実上義務付けた。具体的には、2026年度からの本格運用が予定される「セキュリティ対策評価制度」や、IoT製品に対する「JC-STAR（セキュリティ要件適合評価及びラベリング制度）」の導入により、十分なセキュリティレベルを持たない企業は市場から排除されるリスクに直面することになる6。

一方で、政府は「DX with Cybersecurity」をスローガンに掲げ、IT導入補助金2025による強力な財政支援や、国家資格者（情報処理安全確保支援士）と中小企業のマッチング支援、地域ごとのセキュリティコミュニティ形成支援など、中小企業がこの「セキュリティ・デバイド（分断）」を乗り越えるための包括的な支援パッケージを用意している8。

本報告書は、2025年サイバーセキュリティ戦略の全貌、その法的基盤となる「サイバー対処能力強化法」、そして中小企業経営に及ぼす具体的かつ甚大な影響について、入手可能な最新の資料に基づき網羅的かつ詳細に分析するものである。

1. 序論：激変する安全保障環境とサイバー空間の「戦場化」

1.1 地政学的リスクの顕在化とハイブリッド戦の教訓

日本のサイバーセキュリティ政策が2025年に大きな転換点を迎えた背景には、国際的な安全保障環境の劇的な悪化がある。特に、ウクライナ紛争において物理的な軍事侵攻に先立って行われたサイバー攻撃（通信インフラの破壊、政府機能の麻痺）は、現代戦においてサイバー空間の支配権が物理空間の作戦遂行能力を決定づけることを如実に示した。
日本周辺においても、台湾有事を念頭に置いた緊張が高まる中、中国を背景とするとされるAPTグループ「Volt Typhoon」や「MirrorFace」による日本の重要インフラや先端技術企業への偵察・潜伏活動が確認されている3。また、北朝鮮系の「TraderTraitor」などは暗号資産の窃取を通じてミサイル開発資金を獲得しており、サイバー攻撃が安全保障上の直接的な脅威となっている3。

1.2 技術的特異点：AIと量子技術の台頭

脅威の質的変化に加え、攻撃技術の進化も政策転換を後押しした。生成AIの悪用によるフィッシングメールの巧妙化や、攻撃コードの自動生成により、攻撃の敷居が大幅に低下している。さらに、量子コンピュータの実用化が視野に入る中、現在インターネットの信頼性を支えている公開鍵暗号（RSA等）が将来的に破られる「危殆化」のリスクが現実味を帯びてきた。これに対し、政府は耐量子計算機暗号（PQC）への移行を国家戦略として位置づけ、2025年戦略においても重要項目として盛り込んでいる5。

1.3 経済安全保障との一体化

従来のサイバーセキュリティ政策は、あくまで「情報資産の保護」という観点が強かったが、2025年戦略では「経済安全保障」の中核として再定義された。DMMビットコインにおける482億円相当の流出事件のような経済的損失だけでなく、サプライチェーン攻撃による重要インフラの機能停止は、国民生活と経済活動そのものを破壊する。したがって、中小企業を含むサプライチェーン全体の強靭化は、一企業の経営課題ではなく、国家の存立に関わる重要事項と位置づけられたのである3。

2. 2025年版「サイバーセキュリティ戦略」の核心：能動的サイバー防御（ACD）の全貌

2025年12月23日に閣議決定された戦略の最大の特徴は、「能動的サイバー防御（Active Cyber Defense）」の導入である。これは、攻撃を受けてから対処するのではなく、攻撃の着手段階またはその準備段階において、国が主体的に介入し、被害を未然に防止する概念である1。

2.1 能動的サイバー防御の3つの柱

戦略におけるACDは、主に以下の3つの要素から構成されている。

常時監視と情報の集約（情報の優位性確保）
これまで、政府は民間企業からの自発的な報告に依存していたが、新戦略では、国内の通信事業者が扱う通信データ（メタデータ等）を含め、脅威情報を国が能動的に収集・分析する体制を構築する。特に、海外からの不審な通信トラフィックを検知し、攻撃者のC2サーバー（指令サーバー）を特定することが主眼となる1。
早期警戒と官民連携の義務化
特定された脅威情報は、被害が予想される重要インフラ事業者等へ即座に共有される。これまでの「推奨」レベルの情報共有ではなく、法的な枠組みに基づいた「義務」としての側面が強化され、官民が一体となって防御態勢をとることが求められる4。
無害化措置（攻撃の無力化）
これが最も踏み込んだ施策であり、国（警察庁および自衛隊のサイバー部隊）が、攻撃元となっているサーバーやボットネットに対して、データ消去や通信遮断などの技術的措置を講じて無力化することを可能にする。これは、いわゆる「ハッキングバック」に近い措置を含み得るものであり、従来の専守防衛の解釈をサイバー空間において拡張するものと言える1。

2.2 通信の秘密とプライバシー保護の兼ね合い

ACDの導入にあたり最大の論点となったのが、日本国憲法第21条が保障する「通信の秘密」との整合性である。政府は、サイバー攻撃が国民の生命・身体・財産に対する「明白かつ現在の危険」になり得るという認識の下、公共の福祉による必要最小限の制約として、攻撃に関連する通信データの解析を正当化する法的ロジックを構築した。ただし、その運用には厳格な透明性が求められ、目的外使用の禁止や第三者機関による監督体制の整備が戦略の中に明記されている1。

2.3 自衛隊と警察の役割分担と統合

新戦略では、平時から有事への移行（グレーゾーン事態）において、警察と自衛隊がシームレスに連携することが強調されている。

警察庁： サイバー事案の捜査、犯罪としての取り締まり、および特定重要インフラへの攻撃に対する第一次的な対処。
自衛隊：国家安全保障に関わる重大なサイバー攻撃（武力攻撃に準ずる事態）に対する防衛出動および相手方システムの無力化措置。
これらを統合的に指揮・調整するために新設されるのが、後述するNCOである1。

3. 法的・制度的基盤の刷新：サイバー対処能力強化法とNCOの設置

戦略の実効性を担保するために、法的・組織的な再編が断行された。その中心となるのが、2025年5月に成立した「サイバー対処能力強化法（重要電子計算機に対する不正な行為による被害の防止に関する法律）」と、新たな司令塔組織「国家サイバー統括室（NCO）」である。

3.1 サイバー対処能力強化法の詳解

この法律は、従来の「サイバーセキュリティ基本法」が理念法・促進法としての性格が強かったのに対し、国家による権限行使と民間事業者の義務を定めた実体法である4。

3.1.1 重要インフラ事業者の報告義務化と罰則

本法により、電力、通信、金融、鉄道などの「基幹インフラ事業者（特定社会基盤事業者）」に対し、サイバー攻撃によるインシデント発生時の政府への報告が法的義務となった。

義務の対象： 従来は努力義務であったが、法律に基づく強制力を伴うものとなった。
罰則規定： 報告義務違反や、政府からの是正命令に従わない場合、最高で200万円以下の罰金が科される可能性がある。また、虚偽報告や資料提出拒否に対しても罰則（30万円以下の罰金等）が設けられており、コンプライアンスの要求レベルが格段に引き上げられた12。
特定重要電子計算機： 規制の対象となるシステムは「特定重要電子計算機」と定義され、これにはインフラ事業者が利用するクラウドサービスや、サプライチェーン上の重要なITベンダーのシステムも含まれる解釈が可能である12。

3.1.2 通信傍受とデータ活用の法的根拠

同法は、政府が外国からの通信トラフィック（メタデータ等）を収集・分析するための法的権限を付与している。これは、米国のNSA（国家安全保障局）や英国のGCHQ（政府通信本部）が行っているようなシギント（信号諜報）活動の一部を、日本の法体系の中で可能にするものであり、サイバーインテリジェンス能力の抜本的強化を意味する10。

3.2 国家サイバー統括室（NCO）の設置と機能

戦略の遂行主体として、2025年7月に内閣官房に「国家サイバー統括室（National Cyber Office: NCO）」が発足した。これは既存のNISCを発展的に改組したものであり、以下の点で機能が強化されている1。

機能	旧体制（NISC）	新体制（NCO）
位置づけ	調整機関（Coordinating body）	司令塔・統括機関（Command & Control）
権限	各省庁への勧告権のみ	各省庁および関係機関への指揮・命令権限の強化
情報集約	自発的な情報提供に依存	法律に基づく情報の常時集約・一元管理
分析能力	限定的な分析リソース	警察・自衛隊・民間からの出向者を含む大規模な分析官の配置
国際連携	窓口機能	米国CISAや欧州ENISA等との実務レベルでの共同対処・情報共有

NCOは、平時における監視から、有事における対処判断までを一元的に担う組織となり、日本のサイバーセキュリティ政策の「頭脳」と「神経系」の役割を果たすことになる。

4. サプライチェーンセキュリティの義務化：中小企業への構造的インパクト

2025年戦略が中小企業に与える最大の影響は、「サプライチェーンセキュリティ」の厳格化である。政府は、大企業や重要インフラ事業者の防御が強固になっても、その取引先（中小企業）を踏み台にした攻撃（サプライチェーン攻撃）が防げなければ意味がないと結論づけた。

4.1 セキュリティ対策評価制度の導入（2026年度本格運用）

経済産業省主導で導入が進められているのが、企業のセキュリティ対策状況を可視化・格付けする「セキュリティ対策評価制度」である7。

4.1.1 制度の仕組みと格付け（Star Rating）

この制度は、企業が実施しているセキュリティ対策（ガバナンス、リスク管理、技術的対策）を客観的な基準に基づいて評価し、星（★）の数でラベリングするものである。

★1〜★2（基礎レベル）： 「SECURITY ACTION」の宣言や、基本的なウイルス対策、パスワード管理などが実施されているレベル。一般的な中小企業に最低限求められる水準。
★3（標準レベル）： 組織的なリスク管理体制、インシデント対応計画の策定、定期的な教育などが実施されているレベル。中堅企業や重要なサプライヤーに求められる。
★4（高度レベル）： 24時間の監視体制（SOC）、高度な侵入検知、外部監査の受審など、国際基準（NIST SP800-171等）に準拠した最高レベルの対策。重要インフラ事業者や防衛産業の一次請け（Tier 1）に必須となる.7

4.1.2 取引条件としての活用と「排除」の論理

この制度の核心は、評価結果が発注企業（大企業）による取引先選定の基準として活用される点にある。
政府は、重要インフラ事業者や政府調達において、一定以上のランク（例：★3以上）を持つ企業のみを入札に参加させる、あるいは取引を継続するという方針を打ち出している。また、大企業に対しても、公正取引委員会との調整を経て、下請法に抵触しない範囲で取引先にセキュリティ対策を要請・確認することを推奨するガイドラインを策定中である13。
これにより、セキュリティ対策が不十分な中小企業は、技術力や価格競争力があっても、サプライチェーンから排除されるリスクが現実のものとなる。

4.2 サプライチェーン攻撃の実態と中小企業のリスク

攻撃者は、防御の堅い大企業を直接狙うのではなく、セキュリティの甘い子会社や取引先中小企業に侵入し、そこから正規のネットワーク接続を悪用して本丸（大企業）へ侵入する手法（Island Hopping）を常套手段としている。
実際に、DMMビットコインの事例や、過去の自動車メーカーの工場停止事例など、委託先や関連会社経由の侵害が相次いでいる3。このため、大企業側からの監査要求や契約条項（セキュリティ特約）の改定要求は、今後さらに厳しさを増すことが確実である。中小企業は、「被害者」になるリスクだけでなく、取引先への「加害者」となり、損害賠償請求を受けるリスクも抱えることになる。

5. IoT製品セキュリティ適合評価制度（JC-STAR）の詳細と市場への影響

製品（モノ）のセキュリティに関しても、新たな認証制度が導入される。それが「JC-STAR（Japan Cyber Security Technical Assessment Requirements）」である。これは、IoT機器等のセキュリティ要件への適合性を評価し、ラベルを付与する仕組みである6。

5.1 JC-STARの制度設計

JC-STARは、英国のPSTI法や欧州のサイバーレジリエンス法（CRA）などの国際動向と調和する形で設計されており、IoT製品をその機能やリスクに応じてレベル分けし、評価を行う。

対象製品： ネットワークカメラ、ルーター、スマート家電、産業用センサーなど、インターネットに接続されるあらゆる機器。
評価基準（★の数で表示）：
- ★1（ベースライン）： デフォルトパスワードの廃止、脆弱性修正プログラムの提供方針の公表、通信の暗号化など、最低限の要件。自己適合宣言と書類審査が中心。
- ★2〜★4（アドバンスド）： 第三者機関による検証や、より高度なセキュリティ機能（セキュアブート、ハードウェアベースのセキュリティ等）の実装が求められる15。

[表1] JC-STAR 適合基準と評価手法の概要（抜粋）

レベル	適合基準番号	カテゴリ	評価手法	想定製品
★1	S1.1-01	認証・認可（デフォルトPW不可）	書類（仕様書等）	一般消費者向けIoT機器
★1	S1.1-05	ソフトウェア更新機能	書類	家電、オフィス機器
★2以上	S2.x-xx	セキュアなデータ保存	実機検証・テスト	重要インフラ向け機器、医療機器

出典：15の情報を基に作成

5.2 製造業・ITベンダー中小企業への影響

IoT機器や組み込みソフトウェアを開発・製造する中小企業にとって、JC-STARの取得は市場競争力を左右する死活問題となる。

公共調達要件化： 政府機関や自治体は、調達するIoT機器についてJC-STARのラベル付与を要件化する方針であり、ラベルのない製品は入札から除外される可能性が高い5。
開発コストの増大： 適合評価を受けるためには、設計段階からのセキュリティ（Security by Design）の実装が必要であり、検証費用の負担や、セキュリティエンジニアの確保が課題となる。
差別化のチャンス： 一方で、いち早く上位のスターを取得できれば、安価だがセキュリティの甘い海外製品（特に特定国製品）に対し、信頼性を武器に差別化を図る好機ともなり得る。

6. 中小企業支援策の全貌：DX with Cybersecurityと経済的インセンティブ

政府は、規制強化の一方で、リソースの乏しい中小企業が取り残されないよう、「DX with Cybersecurity」を掲げた手厚い支援策を展開する。これは「アメとムチ」の政策パッケージである。

6.1 経済的支援：IT導入補助金2025の拡充

中小企業のセキュリティ投資を直接的に支援する最大のツールが「IT導入補助金2025」である。2025年度版では、セキュリティ枠が大幅に強化されている8。

セキュリティ対策推進枠： サイバー攻撃の被害を防ぐためのセキュリティソフト（ウイルス対策、UTM、認証システム等）の導入費用を補助する。
補助率の引き上げ： 特に、インボイス制度対応とセットでの導入や、高度なセキュリティ機能を備えたツールについては、補助率が最大で3分の2（通常は2分の1）まで引き上げられる場合がある。
「サイバーセキュリティお助け隊」の対象化： 後述するIPAの認定サービス「サイバーセキュリティお助け隊」の利用料も補助対象として明確化され、継続的な運用コストの低減が図られている9。

6.2 人的・技術的支援：伴走型支援の強化

カネだけでなく、ヒトとノウハウの不足を補う施策も展開される。

サイバーセキュリティお助け隊サービス：
IPA（情報処理推進機構）が認定した、中小企業向けの安価で簡易なセキュリティサービス（監視、駆除、保険のセット）である。2025年度からは、サービス内容の拡充とともに、IT導入補助金との連携により、月額数千円〜数万円程度での導入が可能になるよう設計されている6。
情報処理安全確保支援士（登録セキスペ）とのマッチング：
国家資格を持つセキュリティ専門家を、中小企業の「セキュリティアドバイザー」として派遣・紹介する事業を強化する。これにより、経営層が専門家のアドバイスを受けながら、社内ルールの策定やリスク評価を行える体制を構築する6。
地域SECUNITY連絡会：
地方における情報格差を解消するため、総務省と経産省が連携し、地域の商工会議所やITベンダーを中心としたコミュニティ形成を支援する。ここでは、地域特有の産業事情に合わせたセミナーや、インシデント発生時の相互扶助ネットワークが構築される5。

7. 技術的展望：ポスト量子暗号（PQC）とAIセキュリティ

2025年戦略は、足元の対策だけでなく、中長期的な技術トレンドへの対応も盛り込んでいる。これらは現在は大企業や政府機関中心の課題に見えるが、数年以内に中小企業の技術標準にも波及するものである。

7.1 耐量子計算機暗号（PQC）への移行ロードマップ

量子コンピュータの実用化により、現在の暗号技術が無力化される「2030年問題」等を見据え、政府はPQCへの移行準備を加速させる。

政府機関の先行導入： 2025年度中に、政府機関システムにおけるPQC移行の方向性を決定し、調達基準に反映させる。
産業界への波及： 金融機関や重要インフラ事業者に対しても、PQCへの対応計画の策定を促しており、これらに関連するシステム開発を行う中小ITベンダーは、新しい暗号アルゴリズム（CRYSTALS-Kyber等）への対応技術を習得する必要が生じる5。

7.2 AIの安全性確保（AI Safety）

生成AIの普及に伴い、AIに対する攻撃（プロンプトインジェクションやデータ汚染）や、AIを悪用した攻撃への対策が急務となっている。

AIセーフティ・インスティテュート（AISI）： 政府はAISIを中心に、AI開発・運用に関するガイドラインを策定しており、AIを活用したサービスを提供する企業は、このガイドラインへの準拠が求められるようになる。
防御へのAI活用： 一方で、膨大なログ分析や異常検知においてAIを活用することで、人手不足を補う「AIによる防御」の普及も推進される5。

8. 結論：「選別」される中小企業と新たな産業秩序

2025年12月の「サイバーセキュリティ戦略」閣議決定は、日本のサイバーセキュリティ政策を「受動的対処」から「能動的防御」へと180度転換させるものである。この転換は、単に防衛省や警察庁の権限強化にとどまらず、日本経済の末端に至るまで、セキュリティを基軸とした新たな産業秩序を形成することになる。

中小企業経営者への提言

中小企業にとって、本戦略の意味するところは明確である。「サイバーセキュリティ対策は、もはやコストではなく、市場参入のためのライセンス（免許）である」ということだ。
JC-STARやサプライチェーンセキュリティ評価制度の導入により、十分な対策を行わない企業は、大手企業のサプライチェーンから「リスク要因」として切断される未来が待っている。逆に言えば、早期に★3以上の評価やJC-STARラベルを取得し、体制を整備することは、他社に対する強力な競争優位性となる。

今後のロードマップ

2025年中： IT導入補助金等を活用し、セキュリティ機器の導入や規定の整備を行う。自社の現状レベルを把握する（SECURITY ACTION等）。
2026年以降： セキュリティ対策評価制度の本格運用開始に合わせ、星の取得を目指す。改正法に基づく取引先からの監査要求に対応できる体制を確立する。

2025年は、日本のすべての中小企業にとって、デジタル社会における「生存」をかけた適者生存のプロセスの始まりの年となるだろう。政府の支援策を最大限に活用し、この荒波を乗り越える「強靭な経営体質」への変革が求められている。

引用文献

サイバー新戦略、能動的防御明記政府、今後5年で脅威を抑止, 12月 23, 2025にアクセス、 https://www.47news.jp/13634149.html
Japan's Present and Future National Security Strategy: Five Key Challenges to Watch, 12月 23, 2025にアクセス、 https://www.csis.org/analysis/japans-present-and-future-national-security-strategy-five-key-challenges-watch
2026年度始動の「サプライチェーンセキュリティ評価制度」企業セキュリティが"客観評価"される時代に (1/2), 12月 23, 2025にアクセス、 https://ascii.jp/elem/000/004/361/4361479/
日本の新たなサイバー・ドクトリン：2025年国家サイバーセキュリティ戦略と能動的防御への転換に関する詳細分析 - YubiOn, 12月 23, 2025にアクセス、 https://www.yubion.com/post/cyberincident-20250923-2
サイバーセキュリティ 2025 （2024 年度年次報告・2025 年度年次計画） - 国家サイバー統括室, 12月 23, 2025にアクセス、 https://www.cyber.go.jp/pdf/policy/kihon-s/cs2025.pdf
「サイバーセキュリティ2025」(NISC 2025年6月公表)要約, 12月 23, 2025にアクセス、 https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/630/index.html
サプライチェーンの未来を守る経産省「セキュリティ対策評価制度」を読み解く - Canon, 12月 23, 2025にアクセス、 https://canon.jp/biz/solution/smb/tips/trend/security-assessment
中小企業庁担当者に聞く「IT導入補助金2025」 - ミラサポPlus, 12月 23, 2025にアクセス、 https://mirasapo-plus.go.jp/hint/28998/
IT導入補助金2025を徹底解説｜制度の特徴・補助率・活用ポイントまでわかりやすく紹介, 12月 23, 2025にアクセス、 https://www.infinitalk.co.jp/column/29
Japan's new Active Cyber Defense Law: A Strategic Evolution in National Cybersecurity, 12月 23, 2025にアクセス、 https://www.centerforcybersecuritypolicy.org/insights-and-research/japans-new-active-cyber-defense-law-a-strategic-evolution-in-national-cybersecurity
Japan's Cabinet Approves Active Cyber Defense Legislation to Strengthen National Cybersecurity - Breached Company, 12月 23, 2025にアクセス、 https://breached.company/japans-cabinet-approves-active-cyber-defense-legislation-to-strengthen-national-cybersecurity/
つながる社会"を守る「能動的サイバー防御」
2026年施行の新制度で変わる企業対応 - GSX, 12月 23, 2025にアクセス、 https://www.gsx.co.jp/securityknowledge/column/202509.html
サイバーセキュリティ政策 (2025年10月30日 No.3703) | 週刊経団連タイムス, 12月 23, 2025にアクセス、 https://www.keidanren.or.jp/journal/times/2025/1030_09.html
経産省「サプライチェーン強化に向けたセキュリティ対策評価制度」対応ガイド｜ 4の取得を希望する企業が今するべきことは？ - NRIセキュア, 12月 23, 2025にアクセス、 https://www.nri-secure.co.jp/blog/meti-security-measures-assessment-system-for-strengthening-supply-chains-compliance-guide
「JC-STAR」とは？～ 1取得の進め方と通信の役割をざっくり解説 - ソフトバンク, 12月 23, 2025にアクセス、 https://www.softbank.jp/biz/blog/cloud-technology/articles/202509/jc-star-1/