サイバーセキュリティ

課題の定義（扱う／扱わない）

• 扱う：重要インフラ・企業・行政・個人を対象としたサイバー攻撃（ランサムウェア、不正アクセス、サプライチェーン攻撃など）への防御と、国としての対処能力（能動的サイバー防御を含む制度・体制）。
• 扱わない：偽情報・世論工作などの「情報空間」の問題（別カードで扱う）、個別の暗号技術や製品仕様の技術論。
• 似て非なるもの：個人情報保護（プライバシー法制）は重なる部分があるが本カードの主眼ではない。物理的なテロ・防衛一般とも区別する。

何が起きているか（データ）

• 警察庁の集計では、2025年（令和7年）のランサムウェア被害の報告件数は226件で、過去最多だった2022年の230件に次ぐ過去2番目の高水準となった（警察庁、2026年3月公表）。
• 2025年上半期の被害116件のうち、中小企業は77件で全体の約3分の2を占め、件数・割合とも過去最多を更新した（警察庁、2025年9月公表）。背景にはランサムウェアを「サービス」として提供するRaaSの普及が指摘される。
• 手口の面では、VPN機器など外部公開機器からの侵入が6割を超え、データを盗んだうえで公開を脅す「二重恐喝型」が約9割を占める（警察庁、令和7年）。調査・復旧費用が1,000万円以上に達した組織の割合は、前年から59%へ上昇した（警察庁、2025年上半期）。
• 関連する金銭被害も深刻で、2025年の特殊詐欺被害額は約1,414億円（前年比＋96.7%）、SNS型投資・ロマンス詐欺は約1,827億円に上った（警察庁、2026年3月公表）。

注：通年の確定値は警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」（PDF）、上半期値は同「令和7年上半期」版に基づく。最新版は警察庁の統計ページから参照できる。

なぜ先送りされてきたか

• 攻撃は「目に見えにくく」、被害が表面化するまで投資の優先順位が上がりにくい。
• 中小企業では予算・人材が乏しく、「自社は狙われない」という認識が残っていた。
• 国としての能動的な防御は、通信の秘密（憲法21条）や私権制限との緊張があり、法整備に時間がかかった。サイバー対処能力強化法の成立は2025年5月までずれ込んだ。

よくある誤解

• 誤解：「狙われるのは大企業や政府だけで、中小企業は関係ない」 → 事実：2025年上半期のランサムウェア被害116件のうち中小企業が77件と約3分の2を占め、件数・割合とも過去最多。サプライチェーンの末端が攻撃の入口になりやすい（警察庁、2025年）。
• 誤解：「能動的サイバー防御＝無制限の通信監視」 → 事実：法は独立した監督機関による事前・事後の統制と情報の限定的取扱いを前提とする。論点は「やる／やらない」ではなく監督の独立性・透明性をどこまで担保するかにある（内閣官房、2025年）。
• 誤解：「中小企業の対策はコストが高く手が出ない」 → 事実：お助け隊サービスは相談・監視・緊急対応・簡易保険を安価にワンパッケージで提供し、制度開始から約3年で2,000を超える中小企業等が支援を受けた（IPA・経済産業省、2024年）。

原因構造

• 裾野の弱さ：サプライチェーンの末端（中小企業）が攻撃の入口になりやすく、被害件数の多数を中小が占める。
• 人材不足：セキュリティ専門人材が官民とも慢性的に不足。
• 情報の非対称：攻撃者側はRaaS等でツールを共有し進化が速い一方、防御側の情報共有は限定的だった。
• 制度の遅れ：従来は事後対処中心で、攻撃の兆候段階で動く法的根拠が乏しかった。
• 境界防御の限界：VPN機器など公開資産が侵入口になりやすく、脆弱性管理・更新が追いつかない。

誰が、どう困るか（影響）

• 重要インフラ事業者（電力・通信・金融・医療・行政など）：停止すれば社会全体に波及する。
• 中小企業：被害件数の多数を占め、事業停止や取引停止で存続に関わる。復旧費用の高額化（1,000万円超が約6割）は中小に重い。
• 病院・自治体：医療停止や行政サービス停止で住民生活に直接影響。
• 個人：個人情報流出、フィッシング、特殊詐欺・投資詐欺による金融被害。

放置するとどうなるか（時間軸）

• 今すぐ〜1年：ランサムウェア被害が中小・医療に広がり続け、事業停止・身代金・復旧費用の負担が拡大。
• 3〜5年：重要インフラへの攻撃が現実の脅威となり、地政学的緊張と連動した攻撃リスクが高まる。新制度の運用品質が問われる。
• 10年：防御力の差が産業競争力・安全保障の差として固定化し、回復が困難になる。

解決の方向性

• 能動的サイバー防御の新制度（官民連携・通信情報利用・アクセス無害化）を、人権・通信の秘密への配慮と独立した監督の下で実装する。
• 司令塔（国家サイバー統括室／NCO）を中心に、官民・分野横断の情報共有を恒常化する。
• 中小企業を含む裾野の底上げ（基本対策の徹底、お助け隊サービスや補助金などの支援制度の活用）。
• 専門人材の育成・確保と、攻撃面（VPN等公開資産）の脆弱性管理の徹底。

政策選択肢の比較

選択肢	効果	コスト	実現難度	主な副作用	前提・備考
能動的サイバー防御の制度実装（通信情報利用・アクセス無害化）	高	中	中	通信の秘密・私権との緊張、監視国家化・目的外利用・萎縮効果への懸念、国際摩擦・誤検知による過剰対応のリスク	独立した監督機関による事前・事後の統制と情報の限定的取扱いが前提。運用実態の定期公表と是正手続きが信頼の条件（内閣官房、2025年）。
NCOを司令塔とする官民・分野横断の情報共有の恒常化	中	中	中	共有情報の取扱い・秘匿と活用のバランス	事後対処から兆候段階での対処へ転換。府省横断の窓口一本化・警戒情報の即時発信が基盤（NCO、2025年）。
中小企業の裾野底上げ（お助け隊サービス・補助金）	中	中	高	対策コストの分担・補助の対象や上限設計をめぐる公平性	相談・監視・緊急対応・簡易保険をワンパッケージで安価に提供。約3年で2,000超の中小等を支援、2024年に2類創設（IPA・経済産業省、2024年）。
専門人材の育成・確保と脆弱性管理の徹底	中	高	低	育成・処遇・官民流動の同時策が必要で短期では効果が出にくい	VPN等公開資産が侵入口の6割超。新制度を運用できる人材確保が制度実装の前提条件（警察庁、令和7年）。

主体別アクション

政府

• レバー：サイバー対処能力強化法・整備法（2025年5月成立・公布）の施行・運用、NCOによる司令塔機能、お助け隊・補助金などの裾野支援。
• 変えるもの：事後対処から兆候段階での対処へ。官民の脅威情報共有を制度化。
• 制約：通信の秘密・私権との両立、独立した監督機関による歯止め、運用人材の確保。
• 成果指標：重大インシデントの早期検知・封じ込め率、官民共有件数、お助け隊登録事業者数・支援企業数。

自治体

• レバー：行政システム・住民サービスの防御、地域の中小企業支援、自治体情報セキュリティクラウドの運用。
• 変えるもの：標準的なセキュリティ要件の徹底、被害時のBCP整備。
• 制約：人材・予算の不足。
• 成果指標：行政サービス停止時間、インシデント対応訓練の実施率。

企業

• レバー：基本対策（多要素認証、バックアップ、VPN等公開資産の脆弱性管理・更新）、サプライチェーン管理。
• 変えるもの：「自社は狙われない」前提の見直し、取引先を含む防御。
• 制約：中小はコスト・人材が壁（お助け隊サービスや補助金で緩和可能）。
• 成果指標：被害発生率、復旧時間、訓練・教育の実施率。

NPO・地域

• レバー：地域の中小事業者・高齢者への啓発、相談窓口、詐欺被害の早期相談誘導。
• 変えるもの：基本的なリテラシーの底上げ。
• 制約：専門知識・担い手の不足。
• 成果指標：相談対応件数、啓発参加者数。

個人・家庭

• レバー：パスワード管理、多要素認証、更新（アップデート）、不審なリンク・SNS投資勧誘を開かない。
• 変えるもの：日常的な基本動作の習慣化。
• 制約：知識・関心の差。
• 成果指標：多要素認証の利用率、被害申告・相談件数。

メディア・研究者

• レバー：被害事例・手口の正確な報道と分析、過度な恐怖煽りの抑制。
• 変えるもの：制度（能動的サイバー防御）の論点を可視化し議論を深める。
• 制約：技術的内容の翻訳コスト。
• 成果指標：検証可能な報道・研究の量、誤情報の訂正。

実行プラン（深掘り）

短期（〜2年）

打ち手	担い手	手段	里程標・指標
サイバー対処能力強化法・整備法の段階施行に合わせ、能動的サイバー防御の運用ルール（情報の限定的取扱い・監督）を整備し運用を開始する	政府（NCO・内閣官房）	サイバー対処能力強化法・整備法（2025年5月成立・公布）の施行	重大インシデントの早期検知・封じ込め率、通信情報利用に関する苦情・是正件数の公表
NCOを司令塔に府省横断の窓口を一本化し、官民・分野横断の脅威情報共有と警戒情報の即時発信を恒常化する	政府（NCO）	NCO司令塔機能・警戒情報の発信（@cyber_forecast等）	官民の脅威情報共有件数
中小企業の基本対策（多要素認証・バックアップ・VPN等公開資産の更新）の徹底を、お助け隊・補助金で下支えする	政府（経産省・IPA）・企業	お助け隊サービス制度（2類含む）・補助金	お助け隊登録事業者数・支援企業数、基本対策の普及率

中期（3〜5年）

打ち手	担い手	手段	里程標・指標
能動的措置の監督の独立性・透明性を担保するため、運用実態の定期公表と是正手続きを定着させ第三者検証を行う	政府・独立した監督機関	独立した監督機関による事前・事後の統制	監督機関の指摘件数、運用実態の定期公表
官民の専門人材の育成・処遇・官民流動を同時に進め、新制度を運用できる人材基盤を整える	政府・企業	人材育成・確保策（脆弱性管理の徹底とあわせて）	専門人材数（官民横断の充足度指標の整備）
自治体の防御を底上げし、行政システム・住民サービスのBCPとインシデント対応訓練を標準化する	自治体	自治体情報セキュリティクラウドの運用・標準的セキュリティ要件	行政サービス停止時間、インシデント対応訓練の実施率

長期（5年〜）

打ち手	担い手	手段	里程標・指標
兆候段階での官民共同対処を定着させ、重要インフラの重大被害を継続的に抑え込む	政府・重要インフラ事業者	能動的サイバー防御の運用・官民情報共有	重要インフラの重大インシデント発生・停止件数
中小企業・自治体を含め基本的な防御を行き渡らせ、地域・規模間の防御力格差を縮小する	政府・企業・自治体	お助け隊・補助金・自治体支援の継続	中小企業・自治体の対策実施率（大企業との差）、ランサムウェア被害件数
能動的サイバー防御を人権・通信の秘密と両立させて持続的に運用し、安全保障と産業競争力の両面で機能させる	政府・独立した監督機関	監督・透明性の仕組みの継続運用	通信情報利用に関する苦情・是正件数、重大インシデント発生件数

政策争点

• 誰が対策コストを負担するか：中小企業の対策費を自己負担とするか、補助金・お助け隊で社会化するか。補助の対象・上限の設計が問われる。
• 能動的防御をどこまで社会化するか：通信情報の利用やアクセス無害化を国の権限としてどこまで認め、監督の独立性・透明性・第三者検証をどの水準で担保するか。
• 安全保障とプライバシーのどちらをどこまで優先するか：攻撃の兆候段階での対処と、通信の秘密・自由・萎縮効果の回避の折り合いをどこに置くか。
• 新制度を運用する人材をどう確保するか：官民の専門人材が不足する中で、育成・処遇・官民流動のどれを優先するか。
• 地域・規模間の差をどう埋めるか：大企業と中小、都市と地方の自治体で防御力の差が固定化することをどこまで許容するか。

反対論・トレードオフ

• 最も強い反対論（人権・通信の秘密）：通信情報の利用やアクセス無害化は、憲法21条が定める通信の秘密や私権との緊張をはらむ。「監視国家化」「目的外利用」「萎縮効果」への懸念が根強い。
  • 応答：だからこそ法は独立した監督機関による事前・事後の統制と情報の限定的取扱いを前提とする。論点は「やる／やらない」ではなく、監督の独立性・透明性・第三者検証をどこまで担保できるかにある。運用実態の定期公表と是正手続きを欠けば信頼は得られない。
• 財源・公平性：中小企業への対策コスト負担をどう分担するか。補助金・お助け隊の対象や上限の設計が問われる。
• 実現可能性：専門人材が不足する中で、新制度を運用できるか。育成・処遇・官民流動の同時策が要る。
• 副作用：能動的措置が国際的な摩擦や過剰対応（誤検知による無害化の行き過ぎ）を招くリスク。
• 価値対立：安全保障の要請と、自由・プライバシーのバランス。

失敗のシナリオ（プレモーテム）

対策を講じてもなお、日本がこの課題で失敗するとすれば、次のような経路があり得る（いずれも本文既出の構造・データから導いた想定であり、断定ではない）。

• 制度はできたが現場が動かない失敗：サイバー対処能力強化法が施行され能動的サイバー防御の枠組みが整っても、それを運用できる専門人材が官民とも慢性的に不足したままなら、検知・無害化が機能せず「法はあるが回らない」状態に陥り得る。人材確保（育成・処遇・官民流動）が制度実装の前提条件である点を軽視すると、この失敗に近づく。
• 裾野を放置して入口を塞げない失敗：能動的防御や司令塔（NCO）強化に資源を集中する一方、ランサムウェア被害の約3分の2を占める中小企業の底上げ（お助け隊・補助金）が手薄なままだと、サプライチェーンの末端が攻撃の入口であり続け、重要インフラへの波及を防げないという失敗があり得る。
• 数値目標だけ達成し実質が伴わない失敗：お助け隊の登録事業者数・支援企業数や官民共有件数といった件数KPIだけを追い、被害減への寄与や情報共有が早期封じ込めにつながったかという質的効果（既出のとおり評価指標が未確立）を測らないと、指標は伸びても実被害が減らないという失敗に陥り得る。
• 信頼を損ない制度が頓挫する失敗：能動的措置の監督の独立性・透明性・第三者検証や運用実態の定期公表・是正手続きが不十分なまま運用が進むと、「監視国家化」「目的外利用」「萎縮効果」への懸念が顕在化し、合意形成が崩れて制度そのものが頓挫・縮小するという失敗があり得る。
• 地域・規模差を無視した一律施策の失敗：人材・予算が乏しい自治体や中小・地方の事情を踏まえず一律の対策要件を課すと、防御力の差が固定化したまま現場で運用されず、都市・大企業と地方・中小の格差を温存する失敗につながり得る。

KPI

• 結果指標：重要インフラの重大インシデント発生・停止件数、ランサムウェア被害件数（警察庁集計、年次・半期）。
• 中間指標：官民の脅威情報共有件数、多要素認証等の基本対策の普及率、お助け隊サービス登録事業者数・支援企業数、専門人材数。
• 副作用指標：通信情報利用に関する苦情・是正件数、監督機関の指摘件数。
• 公平性指標：中小企業・自治体の対策実施率（大企業との差）、補助金の中小・小規模事業者への到達状況。
• データ更新頻度：警察庁の脅威情勢は半期・年次で更新。本カードは時事性が高く、半年ごとの見直しを想定（next_review: 2026-12）。

未解決の問い

• 能動的サイバー防御の検知・無害化の実績や監督機関の指摘件数は、施行後の公表を待たないと評価できない（要追記：施行後の運用実績）。
• お助け隊の登録事業者数・支援企業数は2024年3月時点の公表値であり、最新値と支援の質的効果（被害減への寄与）の検証が不足している。
• 官民の脅威情報共有が実際にインシデントの早期封じ込めにつながったかを測る評価指標が確立していない。
• 多要素認証など基本対策の普及率や、中小・自治体の対策実施率（大企業との差）を継続的に把握する統計が乏しい。
• 専門人材の充足度を官民横断で測る指標が欠落しており、育成策の効果検証ができない。

すでにある良い事例

• サイバーセキュリティお助け隊サービス制度（経済産業省・IPA、2021年春開始）：中小企業向けに、相談窓口・異常の監視・緊急時の対応支援・簡易サイバー保険を「ワンパッケージ」で安価に提供する民間サービスを国が登録・公表する仕組み。経済産業省・IPAの公表によれば、制度開始から約3年（2024年3月時点）で42の事業者が登録され、2,000を超える中小企業等への支援が行われた。2024年には価格要件を緩和しつつ監視機能や定期コンサルを強化した新類型（2類）が創設された。中小の「予算・人材の壁」を国が制度で下支えする裾野対策の代表例（出典：IPA「お助け隊サービス制度」、経済産業省プレスリリース2024年3月）。
• 国家サイバー統括室（NCO）による警戒情報の発信：NISC改組後のNCOが、X（@cyber_forecast）やYouTube等で注意・警戒情報を継続発信し、府省横断の窓口を一本化（出典：NCO公式サイト、2025年）。司令塔の可視化・即時発信は官民連携の基盤づくりに当たる。

限界・留意：お助け隊の登録事業者数・支援企業数は2024年3月時点の公表値であり、最新値は変動しうる。能動的サイバー防御の運用成果（検知・無害化の実績や監督機関の指摘）は施行後の公表を待って評価する必要がある（要追記：施行後の運用実績）。

10年後の望ましい状態

• 攻撃の兆候を官民が早期に共有・対処でき、重要インフラの重大被害が抑え込まれている。
• 中小企業・自治体まで基本的な防御（多要素認証、脆弱性管理、お助け隊等の活用）が行き渡り、被害が著しく減っている。
• 能動的サイバー防御が、独立した監督と透明性の下で、人権と両立しながら運用されている。
• 官民の人材基盤が育ち、安全保障と産業競争力の両面で持続的に機能している。