1. 深刻化するサイバー脅威に対する防御・抑止
第1の軸は深刻化するサイバー脅威に対する防御・抑止です。重要インフラ事業者 (政府機関・金融機関・通信事業者・電力・水道等) におけるDDoS攻撃・情報窃取・国家を背景としたサイバー攻撃等への対応強化を含みます。
能動的サイバー防御の本格運用に向けて、令和7年法律第42号 (重要電子計算機に対する不正な行為による被害の防止に関する法律) により法的根拠が整備されました。警察庁・防衛省・関係省庁との連携による実務運用の枠組み整備が進められています。
最終更新
STAT DETAIL · NCO STRATEGY
サイバーセキュリティ国家戦略|NCO戦略令和7年12月23日改定+能動的サイバー防御 法制化 (令和7年法律第42号)【2026年版】
日本のサイバーセキュリティ国家戦略は、国家サイバー統括室 (NCO) が令和7年12月23日に「サイバーセキュリティ戦略」を改定し、3軸 (深刻化するサイバー脅威に対する防御・抑止 / 幅広い主体による社会全体のサイバーセキュリティ及びレジリエンスの向上 / 我が国のサイバー対応能力を支える基盤) を提示しました。法的根拠はサイバーセキュリティ基本法(平成26年法律第104号)第12条第5項に基づき、関連立法として令和7年法律第42号 (重要電子計算機に対する不正な行為による被害の防止に関する法律) により能動的サイバー防御の法的根拠が整備されています。情勢認識は国際情勢・デジタル化・AI/量子技術の3点で整理され、業界の制度的転換点となっています。NCO改組経緯・戦略3軸・情勢認識・関連立法・運用実務の論点を順に整理します。
NCO戦略改定日
12/23令和7年
サイバーセキュリティ戦略 令和7年改定版、サイバーセキュリティ基本法第12条第5項に基づく国会報告
出典: NCOサイバーセキュリティ戦略 (令和7年12月23日改定版)
戦略3軸
3軸
防御抑止 + レジリエンス向上 + 対応能力基盤、3軸統合で国家戦略を推進
出典: NCOサイバーセキュリティ戦略 (令和7年改定版)
能動的サイバー防御 法的根拠
42号
令和7年法律第42号「重要電子計算機に対する不正な行為による被害の防止に関する法律」
出典: 令和7年法律第42号 (国会成立資料)
情勢認識3点
3点
国際情勢・社会全体のデジタル化・AI/量子技術革新、戦略改定の背景認識
出典: NCOサイバーセキュリティ戦略 (令和7年改定版) 目次II-2
NCO戦略3軸の整理
令和7年12月23日改定版の戦略3軸 (防御抑止 / レジリエンス / 対応能力基盤)NCO戦略の3軸は、サイバーセキュリティを「攻める防御」「社会全体の底上げ」「基盤整備」の3つの観点で統合的に推進する構造です。それぞれ独立した活動ではなく、相互補完的に機能する設計です。
2. 幅広い主体による社会全体のサイバーセキュリティ及びレジリエンスの向上
第2の軸は幅広い主体による社会全体のサイバーセキュリティ及びレジリエンスの向上です。重要インフラ事業者だけでなく、中堅・中小企業を含む産業界全体・地方公共団体・教育機関・個人まで含むサイバーセキュリティの底上げを目指します。
警察庁の令和7年上半期データではランサムウェア被害116件のうち中小企業が77件と約3分の2を占めており、中小企業対策の必要性は統計的にも裏付けられています。経済産業省のサプライチェーン強化向けセキュリティ対策評価制度 (2026年度開始予定) も同方向の制度整備です。
3. 我が国のサイバー対応能力を支える基盤
第3の軸は我が国のサイバー対応能力を支える基盤の整備です。人材育成・国際連携・産業基盤強化・研究開発を統合的に推進します。
経済産業省は産業振興戦略 (2025年3月公表) で国内サイバーセキュリティ産業の売上規模を9,000億円から10年以内に3兆円規模へ拡大する目標を掲げており、国家戦略の対応能力基盤と整合する形で産業振興が進められています。サイバーセキュリティ人材育成取りまとめ (2025年5月公表) も基盤整備の一環です。
戦略改定の背景となる3情勢認識
NCO戦略改定の背景には、3つの情勢認識が明示されています。第1は「厳しさを増す国際情勢と国家を背景としたサイバー脅威の増大」で、地政学的緊張の継続と国家を背景としたサイバー脅威の常態化が認識されています。警察庁が令和7年上半期に「Salt Typhoon」(中国を背景とするサイバー攻撃グループ) に関する国際アドバイザリーの共同署名・パブリックアトリビューションを実施したことは、この情勢認識の実例です。
第2は「社会全体のデジタル化の進展とサイバー脅威の増大」で、企業のクラウド利用拡大・ハイブリッドワーク定着・行政デジタル化が攻撃対象を広げる一方、対策が追いつかない構造的課題が認識されています。警察庁の不正アクセス認知件数が令和3年1,516件から令和7年7,190件へ約4.7倍に急増していることは、この情勢認識の数値的裏付けです。
第3は「AI、量子技術等の新たな技術革新とサイバーセキュリティに及ぼす影響」で、生成AIの企業導入が広がる中でのAI悪用攻撃の高度化、量子コンピュータ実用化に向けた耐量子計算機暗号 (PQC) への移行課題が認識されています。IPA情報セキュリティ10大脅威2026では組織編3位に「AIの利用をめぐるサイバーリスク」が初選出されており、この情勢認識と整合します。
主要論点
NCO戦略改定はなぜこのタイミング (令和7年12月) なのか
NCO戦略改定が令和7年12月23日になったタイミングには、複数の制度整備が同時並行で進んだ背景があります。第1は2025年7月のNCO発足 (NISC改組) で、新組織体制の下での戦略改定として位置付けられます。第2は能動的サイバー防御の法制化で、令和7年法律第42号 (重要電子計算機に対する不正な行為による被害の防止に関する法律) が成立し、法的根拠と整合する戦略整備が必要となりました。
第3は地政学的リスクの高まりで、「Salt Typhoon」等の国家を背景としたサイバー攻撃事案が顕在化し、戦略レベルでの対応強化が求められました。第4は経済産業省の産業振興戦略 (2025年3月公表) との整合性で、国家戦略と産業政策の連動が必要となりました。これらが同時進行した結果、令和7年12月23日の改定タイミングとなっています。
前戦略 (令和3年9月28日策定) からの主な変更点は、能動的サイバー防御の本格運用方針の明示、3軸構造の再整理 (防御抑止/レジリエンス/対応能力基盤)、AI技術革新を含む情勢認識の更新です。中期的には3-5年ごとの改定サイクルで運用される見通しです。
能動的サイバー防御の実務運用はどう設計されているか
能動的サイバー防御は令和7年法律第42号により法的根拠が整備された政策概念で、攻撃を未然に防ぐ・継続中の攻撃を抑止する積極的対応を含みます。従来の受動的防御 (攻撃を受けてから対応) から、能動的防御 (脅威情報を基に予防的措置) へのシフトです。
実務運用設計の論点は3つに整理されます。第1は 官民連携の枠組み で、政府機関・重要インフラ事業者・専業セキュリティベンダー・MSS/SOC運用受託事業者の連携体制が必要です。NRIセキュアテクノロジーズのNeoSOCや大手SIerのCyber Defense Center等が運用主体の候補となります。第2は 国際連携 で、米国CISA・欧州ENISA・英国NCSCとの情報共有や、警察庁のSalt Typhoonパブリックアトリビューションのような共同対応の枠組み整備です。第3は 法的・倫理的制約 で、能動的防御の実施範囲・対象・手続きを明確化する必要があります。
中期的には2026-2027年で官民連携の運用ガイドライン整備、2028-2030年で本格運用開始、長期的には国際連携の常態化が見通しです。本ページは戦略レベルの整理で、運用実務の詳細は経済産業省のSCS評価制度等の関連制度と合わせて理解する必要があります。
戦略3軸の中で中堅・中小企業対策はどう位置付くか
戦略の第2軸「幅広い主体による社会全体のサイバーセキュリティ及びレジリエンスの向上」は中堅・中小企業を含む幅広い主体の対策強化を明示しており、サイバーセキュリティ業界の需要構造に直接影響します。警察庁の令和7年上半期データではランサムウェア被害116件のうち中小企業が77件と約3分の2を占めており、中小企業対策の必要性は統計的に裏付けられています。
中堅・中小企業対策の具体施策は3つに整理されます。第1は サプライチェーンセキュリティ対策評価制度 (経済産業省、2026年度開始予定) で、大企業の取引先である中堅・中小企業まで含めた認証取得対応が需要拡大要因です。第2は セキュリティ教育・トレーニングサービス の拡大で、富士キメラ予測では2024年度235億円から2030年度370億円へ成長見込みです。第3は Webアプリ脆弱性検査ツール内製化支援 で、富士キメラ予測では2024年度67億円から2030年度128億円へ約2.4倍に拡大予測です。
NCO戦略の第2軸はこれら個別施策を統合する位置付けで、産業政策 (経済産業省)・法執行 (警察庁)・規制 (個情委) との連動による中堅・中小企業対策の網羅的推進を意図しています。中期的には2026-2027年でSCS評価制度の運用開始、2028-2030年で対策実施率の底上げが進展する見通しです。
中期見通し
近未来1-2年
2026-2027年は 能動的サイバー防御の運用ガイドライン整備とSCS評価制度開始 が中心となります。NCO・警察庁・経済産業省・個人情報保護委員会の関係機関連携による官民連携体制の整備が進み、重要インフラ事業者向けの実務運用フレームワークが固まる見通しです。中堅・中小企業対策のサプライチェーン強化向けセキュリティ対策評価制度も2026年度に開始予定で、業界全体の制度対応需要が拡大します。
中期3-5年
2028-2030年は、能動的サイバー防御の本格運用開始と国際連携の常態化が見通しです。Salt Typhoonのようなパブリックアトリビューションが定期化、米国CISA・欧州ENISA・英国NCSCとの情報共有体制が深化します。経済産業省の9,000億円→10年内3兆円目標達成に向けた産業基盤強化も進展、国家戦略 (NCO) と産業政策 (経済産業省) の連動による業界全体の発展が期待されます。
長期
2030年以降は、戦略の3-5年改定サイクルで国家戦略が継続更新されます。AI技術革新・量子コンピュータ実用化・IoT/OTセキュリティ・耐量子計算機暗号 (PQC) 等の新規領域への対応が戦略改定の主軸となる見通しです。サイバーセキュリティ業界全体の対応能力基盤強化と国際連携の継続が長期的な軸となります。
よくある質問
NCOとは何ですか?
NCO (国家サイバー統括室、National center of Incident readiness and strategy for Cybersecurityの改組組織) は内閣官房のNISC (国家サイバーセキュリティセンター) を改組して2025年7月に発足した政府機関です。サイバーセキュリティ基本法 (平成26年法律第104号) 第12条第5項に基づく国家戦略の策定・推進、官民連携体制の整備、国際連携を担います。
能動的サイバー防御とはいつから始まりますか?
能動的サイバー防御の法的根拠は令和7年法律第42号 (重要電子計算機に対する不正な行為による被害の防止に関する法律) として整備済みで、NCOサイバーセキュリティ戦略が令和7年12月23日に改定されています。運用ガイドライン整備が2026-2027年、本格運用開始が2028-2030年の見通しです。
NCO戦略の3軸は何ですか?
第1軸「深刻化するサイバー脅威に対する防御・抑止」(重要インフラ事業者の防御強化と能動的サイバー防御の運用)、第2軸「幅広い主体による社会全体のサイバーセキュリティ及びレジリエンスの向上」(中堅・中小企業まで含むサイバーセキュリティの底上げ)、第3軸「我が国のサイバー対応能力を支える基盤」(人材育成・国際連携・産業基盤強化) の3軸統合で国家戦略を推進します。
戦略改定の背景となる情勢認識は何ですか?
3点の情勢認識が明示されています。第1は「厳しさを増す国際情勢と国家を背景としたサイバー脅威の増大」(地政学的緊張と国家を背景としたサイバー脅威の常態化)、第2は「社会全体のデジタル化の進展とサイバー脅威の増大」(クラウド利用拡大・ハイブリッドワーク定着・行政デジタル化が攻撃対象を広げる構造的課題)、第3は「AI、量子技術等の新たな技術革新とサイバーセキュリティに及ぼす影響」(AI悪用攻撃の高度化と量子コンピュータ実用化に向けたPQC移行課題) です。
NCO戦略は経済産業省の産業政策とどう関係しますか?
NCO戦略は国家戦略レベルの整理で、経済産業省の産業振興戦略 (2025年3月公表、国内サイバーセキュリティ産業9,000億円→10年内3兆円目標) と産業基盤強化で連動します。詳細な産業政策・SCS評価制度・人材育成は産業政策 (経済産業省)で扱います。
参考資料 / 一次ソース
- 1.NCO「サイバーセキュリティ戦略」(令和7年12月23日改定版)— サイバーセキュリティ基本法(平成26年法律第104号)第12条第5項に基づく国家戦略、3軸 (防御抑止/レジリエンス/対応能力基盤) + 3情勢認識
- 2.令和7年法律第42号「重要電子計算機に対する不正な行為による被害の防止に関する法律」— 能動的サイバー防御の法的根拠、関連立法