政府の新たなサイバーセキュリティ戦略 「能動的サイバー防御」「SBOM促進」「PQC移行」を明記：「サプライチェーン全体のレジリエンス確保を目指す」

日本政府は新たなサイバーセキュリティ戦略を閣議決定した。今後5年間を念頭に、実施すべき諸施策の目標や方針を内外に示すものだ。

[＠IT]

　日本政府は2025年12月23日、「サイバーセキュリティ戦略」を閣議決定した。同日、内閣官房国家サイバー統括室（NCO）は戦略の概要を公開した。

　サイバーセキュリティ戦略は、今後5年間を念頭に、実施すべき諸施策の目標や方針を内外に示すものだ。厳しさを増す安全保障環境に対応するため、国がこれまで以上に積極的な役割を果たし、世界最高水準の強靭（きょうじん）さを持つ国家を目指すとしている。

「能動的サイバー防御」導入　官民連携で攻撃無害化へ

　政府の新たなサイバーセキュリティ戦略は、深刻化するサイバー脅威に対する「防御・抑止」、社会全体の「レジリエンス向上」、対応能力を支える「人材・技術のエコシステム形成」の3本柱で構成されている。

　防御・抑止面では、官民連携や国際連携の下、事案対処などの従来の施策に加え、「能動的サイバー防御」を含む多様な手段を組み合わせる方針が明確化された。通信情報の利用による攻撃態様の把握や、アクセス・無害化措置の実施に向けた体制構築を進めるとしている。

サプライチェーンリスクの対策は「責務」へ

　レジリエンス向上面では、ベンダーや中小企業を含めたサプライチェーン全体でのレジリエンス（障害発生時の回復力）確保に向けた施策が盛り込まれた。「情報システムなどの供給者の責務を浸透させるための制度構築」や、「JC-STAR」（IoT〈モノのインターネット〉製品セキュリティラベリング制度）のさらなる社会実装を推進する計画だ。

　SBOM（ソフトウェア部品表）の活用や、「安全なソフトウェア開発の促進」も盛り込まれた。加えて、サプライチェーンリスクに応じて企業が採るべきセキュリティ対策の水準を可視化、確認する制度の整備を進める。取引先企業への対策要請に関わる法令の適用関係を明確化し、ITサプライチェーン全体のレジリエンス向上を目指すとしている。

2035年「PQC移行」に向けた工程表を策定

　AI（人工知能）や量子技術など先端技術への対応方針も示された。AI技術については、AIを活用したセキュリティ確保や、AIを悪用したサイバー攻撃への対処に向けた研究開発、ガイドラインなどのルール形成を推進するという。

　量子技術については、政府機関などにおける耐量子計算機暗号（PQC）への移行を推進する。原則として2035年までの移行完了を目指し、関係府省庁の連携の下、2026年度（令和8年度）に工程表を策定する計画だ。

　量子暗号通信（QKD）についても、2030年ごろの社会実装に向けて実証基盤の広域化や高度化、ビジネスモデルの創出に向けた取り組みを加速させるとしている。