お問い合わせ
TOP > ニュース > レポート > サイバーセキュリティ関係政策の展開と予算動向

ニュース

  • レポート

Share

Facebook Twitter linkedin
2026.02.24

サイバーセキュリティ関係政策の展開と予算動向

株式会社サイバーセキュリティクラウド

プロダクトマネジメント本部 Public Affairs

神山洋介

1.はじめに

 2025年、生成AIの急速な普及やクラウドシフトの深化を背景に、サイバー空間における脅威は新たな局面を迎えた。ランサムウェアやサプライチェーン攻撃といった従来型脅威に加え、攻撃者による生成AIの悪用が進み、クラウド環境特有の脆弱性を突く攻撃も増加の一途をたどっている。Server Side Request Forgery(SSRF)の検知急増などは、クラウド環境を標的とした脅威の高度化を如実に示している(※1)。

 こうした状況下、各国政府はサイバーセキュリティ関連の法規制を強化し、企業にインシデント報告の義務化や更なる対策の強化を要求している。企業には、従来の境界防護等の対策に加え、各国の法規制への準拠や、クラウド設定の厳格な管理など、多角的な対応が強く求められている。

 日本において、政府によるサイバーセキュリティ政策への注力度は年々高まっており、市民生活や企業による経済活動、政府による国家運営全体への視点から取り組みが強化され、それは国家安全保障の領域にまで及ぶ。その観点において、2025年はわが国のサイバーセキュリティ政策において銘記すべき重要な転換点となった一年であり、その本質はわが国のサイバーセキュリティの軸足をプロアクティブなサイバーセキュリティと定めたことにある。サイバー対処能力強化法(能動的サイバー防御法)の成立、それに伴うNISCからNCO(国家サイバー統括室)への発展改組はこの象徴であり、関連する様々な政策動向とも軌を一にしている。

 サイバー領域において専守防衛が成り立ちにくいことが従来から指摘されてきたなか、政府全体のサイバーセキュリティ政策を司るNISCも建付け上の制約から各省にまたがるサイバーセキュリティ政策の「調整」に留まることを余儀なくされ、具体的なインシデント対応や想定され得る国家的サイバー攻撃事案への主導対応には限界があった。

 昨年5月に成立したサイバー対処能力強化法(能動的サイバー防御法)はこの点を改め、NISCから発展改組したNCO(国家サイバー統括室)を権限・体制ともに強化し、民間リソースとの協調を強めながら日常的な脅威分析を行い時に事前対応を可能とし、その対処オペレーションを主に警察(非国家主体対応)と自衛隊(国家主体対応)に定めた。2027年末にかけて数度の法律施行過程を経ながら実効化が図られていく見込みであり、徐々にその具体化が始まっている。

 2025年末には、この転換を反映した政府の新サイバーセキュリティ戦略も閣議決定ののち公表され、これを支える予算措置も通常国会で審議される予定である。本レポートでは、以下、2025年度補正予算・2026年度当初予算案の動向も念頭に、企業や組織が想定におくべきサイバーセキュリティをめぐる政策動向とその展望を概観する。

 

2.サイバーセキュリティ関係政策の動向

サイバーセキュリティ2025

 2025年6月に政府サイバーセキュリティ戦略本部より公表された「サイバーセキュリティ2025」には、2024 年度の年次報告と2025 年度の年次計画がコンパクトにまとめられている。

 特に多く言及されている点は「サイバー対処能力強化法及び同整備法」(能動的サイバー防御法)に至る道筋であり、国家安全保障戦略(2022年)に連なる有識者会議の立上げ(2024年)を経て同法案成立(2025年5月)に至る点である。

 この5月に合わせて、政府全体のサイバーセキュリティ政策の調整を主に担ってきたNISCは国家サイバー統括室へと発展改組され、サイバー対処能力強化法に伴う新たな政策執行等を念頭に強化されることとなった、また、同本部で5月に決定された「サイバー空間を巡る脅威に対応するため喫緊に取り組むべき事項」をもとに、特に以下7項目について、各省庁にて新たに期限を設けて取り組みが進められてきた点にも留意すべきである。

  • インシデントに係る各種報告様式の統一
  •  IoT 製品に対する「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の政府機関等における選定基準への反映
  • 官民共通の「人材フレームワーク」の策定
  • 脅威ハンティングの実施拡大に向けた行動計画の基本方針の策定
  • 重要インフラ事業者等が実施すべきサイバーセキュリティ対策に係る基準の策定
  • 中小企業におけるサイバーセキュリティ対策実施のための環境整備
  • 耐量子計算機暗号(PQC)への移行の方向性の検討

 これら政策動向を基礎に、年内の策定・公表に向け、政府サイバーセキュリティ戦略の改訂作業が進められた。政府全体のサイバーセキュリティ関係施策の原則を規定するサイバーセキュリティ戦略が更改されるのは4年ぶりであり、サイバー対処能力強化法の施行に伴う大幅な改訂などが盛り込まれると見られるなか、来年度以降の関係施策の展開を見通すうえで注目された。

 

新サイバーセキュリティ戦略

 政府は昨年12月、4年ぶりとなる「次期サイバーセキュリティ戦略」をパブリックコメントに付し、閣議決定ののち公開した。本戦略は、サイバー対処能力強化法の成立をふまえて、わが国のサイバー対応能力を「防御・抑止」のレベルへと引き上げることを明確にした点に最大の特徴がある。「自由、公正かつ安全なサイバー空間」の確保に向け、以下の3つの施策の方向性が示された 。

  • 深刻化するサイバー脅威に対する防御・抑止
    従来の防御に加え、能動的サイバー防御を含む多様な手段を組み合わせ、攻撃者に継続的なコストを負わせることで脅威を抑止する。国家サイバー統括室が司令塔となり、警察・自衛隊によるアクセス・無害化措置や、通信情報の活用を含む情報収集・分析能力を抜本的に強化する。
  • 幅広い主体による社会全体のサイバーセキュリティ及びレジリエンスの向上
    政府機関等が範となる対策強化を進めるとともに、重要インフラ事業者や地方公共団体、サプライチェーン全体(中小企業含む)のリスク対応力を底上げする。特に、セキュアバイデザイン原則の浸透や、IoT製品認証制度「JC-STAR」の社会実装を推進する。
  • 人材・技術に係るエコシステム形成
    人材フレームワークの整備や、国産技術・サービスを核としたエコシステムの形成を目指す。また、AIの安全性確保や量子技術(耐量子計算機暗号への移行など)への対応も強化する。

 重要インフラ防護および官民連携に関しては、戦略において具体的な運用スケジュールが明示されつつあり、基幹インフラ事業者等やセキュリティベンダー等が参加する「新協議会」については、2026年秋からの立ち上げが示唆されている。この枠組みを通じ、平素から信頼関係を構築し、国から脅威情報等が積極的に提供される「双方向・能動的な情報共有」のエコシステム形成が図られる。

 また、サプライチェーン全体のリスク評価については、2026年度に「各企業が取るべきセキュリティ対策の水準を可視化・確認する制度」の運用を開始し、普及を目指すことが見込まれる。

 

サイバー対処能力強化法(能動的サイバー防御法 / ACD法)

 「サイバー対処能力強化法及び同整備法」(能動的サイバー防御法 / ACD法)は昨年5月16日、衆参両院の可決を経て成立した。本法成立の最大の意義は、わが国のサイバーセキュリティ施策の原則をプロアクティブ(能動的)とすることを定めた点にあり、冒頭にも既述のとおりである。

 各省にまたがる平時からのサイバーセキュリティ施策展開や、インシデント発生時の対処において「調整」に主軸を置いてきたNISCも、権限・体制ともに強化のうえ国家サイバー統括室へ発展改組され、同法に基づいて強化された法的権限・態勢に基づいてより主導的な取組が進められている。

 サイバー対処能力強化法が定める事項は広範にわたる。本法に基づいて実施されるアクセス・無害化措置の実行主体は警察・自衛隊とされ、主に国家主体の事象への対応を自衛隊が、それ以外を警察が対応する方向である。アクセス・無害化措置にあたっては、国内はもとより、国外機器への措置も実施可能となり、外交上の必要に応じて外務省と協議が行われる。

 アクセス・無害化措置に際して行われるアトリビューションはインシデント発生後に限らず行われる。各通信情報が収集・統合・分析されることが想定されており、基幹インフラ事業者との協定に基づき取得される通信情報、基幹インフラ事業者に義務化されたインシデント報告情報、官民連携協議会を通じて得た情報、外国政府から提供された情報、一定の手続き・要件のもと陸揚局などから取得される外外通信、または外内・内外通信情報が対象である。

 これら情報の取得にあたっては、新設されるサイバー通信情報監理委員会が通信の秘密を含む法的整合性の観点から実施する監理が法定されている。また、取得した通信情報については、人による知得を伴わない自動的な方法により、必要性上の選別とそれ以外の消去措置を講ずることが定められた。

 本法においては主として情報共有を目的とする官民連携の強化が位置づけられている。基幹インフラ事業者においては、サーバー等の特定重要電子計算機について製品名等を届け出ること、関連するインシデント情報や脆弱性情報を報告することが義務化された。また、セキュリティ製品メーカーなど電子計算機やプログラム等の供給者においても、サイバーセキュリティ確保のための必要な対応が責務規定として新設され、関係省庁が被害防止のための情報提供や要請を行う根拠規定が設定された。

 これら新設事項の対応として、サイバーセキュリティ戦略本部を総理直轄組織とする機能強化、国家サイバー統括室(旧NISC、現NCO)の発展改組、内閣サイバー官の新設等が行われ、官民連携を行う協議会も新設されることとなった。これらの法定事項は2027末までの4度に分けて施行されることが定められており、戦略本部強化・国家サイバー統括室改組に加えてサイバー対処能力強化法運用指針等が2025年内に実施・公表済であり、サイバー通信情報監理委員会設置関連が2026年春、その他大半の制定事項が2026年末、通信情報の利用関連が2027年末までに細部決定のうえ政令で定められ施行されることが法定されている。

 

防衛省・自衛隊のサイバー能力強化

 サイバー対処能力強化法の成立に伴い、特に国家安全保障の観点からアクセス・無害化を行う通信防護措置を自衛隊が担うこととなった。通信防護措置は、重要電子計算機を標的とする本邦外にある者による特に高度に組織的かつ計画的なサイバー攻撃が行われ、自衛隊が対処を行う特別の必要があると認めるとき、内閣総理大臣が自衛隊に実施を命ずることとされ、今後の施行にむけて具体的対応が進められるとみられる。

 もとより、防衛省・自衛隊においては国家安全保障上の必要性からサイバー領域における対応強化が図られてきた。サイバー空間が国家間紛争の領域と化し、その脅威が高度化するなか、2024年のサイバー防衛隊新編、サイバー専門部隊4千人体制への拡充やリスク管理枠組み(RMF)の導入、サイバー人材総合戦略の取りまとめなどが継続されている。

 2025年7月には防衛省次世代情報通信戦略が公表され、各自衛隊で個別に整備・運用されてきた情報通信システムを統合し、指揮統制能力と情報共有能力を飛躍的に向上させるための防衛省クラウドの整備も本格化しており、レジリエンス強化の観点からセキュリティ要件の飛躍的強化が求められている。

 また、防衛力そのものの脆弱性をサプライチェーンの段階から解消することを目的の一つとして防衛生産基盤強化法が2023年に施行されており、防衛産業全体のサイバーセキュリティ強化が進められている。

 こうした施策を支える人的基盤構築が急務である点をうけてサイバー人材総合戦略が取りまとめられ、自衛隊サイバー防衛隊の機能強化や、陸上自衛隊システム通信・サイバー学校における教育・訓練体制の拡充をへて高度なサイバー戦対応を可能とする育成が図られている。

 

デジタル海外展開総合戦略2030

 政府としての日本企業のインフラシステムの海外展開取組を包括する「インフラシステム輸出海外展開戦略2030」が2024年12月に改定された。これを受けて2025年6月、総務省においても「デジタル海外展開総合戦略2030」が改定され、海外展開支援、デジタル分野における国際競争力強化、経済安全保障の確保への取組がより強化された。

 同戦略では7分野が重点分野として定められた。サイバーセキュリティ分野はその4つ目に提示されており、その他として海底ケーブル、モバイルネットワーク(RAN)、非地上系ネットワーク(NTN)、大規模言語モデル(LLM)、オール光ネットワーク(APN)・光電融合技術、データセンターが掲げられている。

 サイバーセキュリティ分野においては、国内マーケットシェアおよびそこから派生する脅威情報ともに海外依存の高さを問題意識とし、高度人材育成のための訓練環境の乏しさにも言及、2035年頃までに自力で未知の脅威を早期に検知可能とするエコシステムの確立と、被害発生前の攻撃阻止能力の確保を目指すことを目標としている。

 公表された戦略には具体的取組として、NICTによる開発・政府機関端末への導入やAIの活用、民間セキュリティ企業での展開などが例示されており、今後の具体化が図られることが見込まれる。

 

サイバーセキュリティ産業振興戦略

 経済産業省は2025年3月、わが国から有望なサイバーセキュリティ製品・サービスが次々に創出されるための包括的な政策パッケージとして「サイバーセキュリティ産業振興戦略」を公表した。

 本戦略では、国内で活用されるセキュリティ製品の多くを海外製が占めている現状、導入実績が重視される商慣習、十分に開発投資が行われにくい事業環境を課題とし、その対応策として政府機関等による有望なセキュリティ・スタートアップの製品・サービスの試行的な活用や、大規模な研究開発の推進、国内商流を担うSI事業者とベンダーとのマッチングの場の創出等を掲げた。今後、10年以内にサイバーセキュリティ産業における国内企業の売上高を、足下の約0.9兆円から約3兆円超に増やすとする野心的な目標が設定されている。

 サプライサイドの現状分析として、主流商流であるSIベンダーによる海外セキュリティソフトウェア取扱いの多さ、有望分野における外資企業シェアの高さ、国産製品の性能上優位性劣後、国産企業における研究開発費の少なさなどを挙げている。

 これらを前提に、目指すべき方向性として、国産製品・サービスが活用されるための環境整備、優れた国産製品・サービス創出/SIer等による国産製品/サービス発掘、産業全体を支える基盤の強化の3点が掲げられ、それらに紐づく取組が開始された。併せて今後のロードマップも提示され、10年以内に国内企業の売上高を足元から3倍増を目指す(約0.9兆円→約3兆円超)ことがKPIとして設定されている。

 当然ながらこうした取組はセキュリティ関係企業そのものに求められる努力であり、その点はサイバーセキュリティ産業を取り巻く皆様への期待として公表されているところであるものの、記載にあるとおり戦略的取組との積極的協調が重要である。産業政策上のセキュリティ対策強化の重要性や、安全保障上の要請、デジタル赤字解消の意図は総務省取組におけるデジタル海外展開総合戦略とも軌を一にしており、取組の具体化が期待される。

 

各省におけるサイバーセキュリティ関係政策

 警察庁もまた、サイバー対処能力強化法成立をうけて無害化措置を行う実施主体として法定された。警察庁におけるサイバーセキュリティ関連対応は内部部局であるサイバー警察局が主管し、外国捜査機関等との強固な信頼関係を構築しつつ、対処に高度な技術を要する事案や海外からのサイバー攻撃集団による攻撃等に対処するサイバー特別捜査部も関東管区警察局に設置されている。

 犯罪捜査上のサイバー空間における捜査のみならず、国家を背景に持つとみられる攻撃グループなど、重大な脅威に対する捜査・分析能力の向上が図られており、都道府県警察を含めた民間との情報共有も進められている。

 外務省においては、同盟国・同志国と連携して特定の国家や攻撃グループを名指しで非難するパブリック・アトリビューションの積極実施や、G7などの国際的な枠組みを通じたサイバー空間における国家規範の主導、途上国支援の枠組みにおける能力構築支援なども実行されている。

 デジタル庁では、政府共通のガバメントクラウドの構築、自治体における基幹業務システムの標準化・共通化過程において、セキュリティ水準の底上げ、標準化が地道に行われている。

 各省庁を通じて、行政事務上のセキュリティ確保、ガバメントクラウド展開上の対応など、組織上のサイバーセキュリティ要件確保などはそれぞれ対応が進められている。

 

3.サイバーセキュリティ関係予算の動向

 ここでは2025年8月末に締め切られた各省から財務省に向けた2026年度予算概算要求に着目し、前述の政策動向との関係性を踏まえながら本年のサイバーセキュリティ関係政策全般の展開を概観する。概算要求とは政府における予算策定プロセスの一部であり、例年8月末までに各省が財務省に来年度予算の概算を要求、年末にかけて財務省査定に基づく各省との折衝が行われて年末に来年度予算が策定され、年明けの通常国会において予算審議を経て年度末の3月に確定することが通例である。

 なお、サイバーセキュリティ関係予算の明確な定義はないため、国家サイバー統括室(NCO・旧NISC)から公表されているサイバーセキュリティ2025(今年度版)等の年次報告に用いられる政府サイバーセキュリティ戦略本部が集約するデータを基礎に、適宜その他予算について触れることとする。また、サイバーセキュリティに関係する予算は一部、他の政策予算の一部として計上されている場合もある点に留意が必要である。

 政府サイバーセキュリティ戦略本部によれば、2025年度のサイバーセキュリティ関係予算は2,051億円(前年度2,128億円)である。前年度においては秋の補正予算において560億円が計上されており、2025年度についても相応の計上が見込まれるが、国会審議日程の関係上現時点で予算額等は明らかでない。2025年度の関係予算においては全体のうち3分の2の1,388億円を防衛省が占め、以下、総務省、文部科学省、NISC(現NCO)、経済産業省の順の計上額である。 

 2026年度予算概算要求について、戦略本部基準に基づく関係予算額は現時点で集約・公開されていないが、各省による概算要求に基づいたサイバーセキュリティおよび関連予算をやや幅広に抽出・集約すると3,778億円(※2)の要求額を確認することができ、例年3月末となる予算成立を待って確定となる。なお、ここでは研究事業やAI推進等を含む広範な関係予算の視点から抽出しているため、要求予算額が大きいが、政府によるサイバーセキュリティ関係施策の展開をより網羅的に掌握する目的とご理解頂きたい。

 概算要求全体を見渡すと、当然ながら、2026年度に向けた概算予算においては既述のサイバーセキュリティ関係政策への連動性が強い。なかでもサイバー対処能力強化法の成立を受けて施行段階に移行するための予算が国家サイバー統括室、総務省、警察庁などに新規に計上される方向である。防衛省・自衛隊におけるサイバー対処能力強化に向けては過去最高の予算額が計上される見込みである。また、総務省・経済産業省における戦略実施段階を示す予算計上も注目される。AIや耐量子暗号・量子コンピューター等に関連する研究事業や、不足が指摘される人材育成についての各省観点による予算化も注目される。

 また、昨年末には、総額21.3兆円の2025年度政府補正予算が成立し、「サイバーセキュリティ対策の強化」予算は509億円と公表されている(※3)。国家サイバー統括室を中心に各省にまたがるサイバー対処能力強化法に伴う対応の強化・推進や、総務省・経産省等による関係戦略・施策展開の強化が図られており、それぞれにおける当初予算の加算や一部来年度事業の早期化もある模様であり、関係事業詳細の公開が待たれる。

 

4.結語

 2025年は、法制度と組織の両面で日本のサイバーセキュリティ政策が大きく書き換えられた年であった。2026年は、裏付けとなる予算と新戦略のもと、それらが「実行」に移される年となる。 本レポートで触れた通り、関係政策と予算は政府における能力強化のみならず、官民の連携、民間産業の育成やサプライチェーン強靭化にも大きな焦点があたっている。企業にとっては、法令対応にとどまらず、自社のセキュリティ体制と事業戦略を中長期的に見直す契機となる年といえるなか、本レポートが、政策動向を踏まえた実務対応を検討する一助となれば幸いである。

以上

※ 本レポートは2026年1月1日時点までの政府発表資料を含む公開情報に基づき作成されています。予算額や施策内容は国会審議等を経て変更される可能性があります。

(※1) https://www.cyber.go.jp/pdf/council/cs/dai43/43shiryou6.pdf

(※2) 株式会社サイバーセキュリティクラウド調べ

(※3)令和7年度補正予算(第1号)の概要

一覧へ戻る