ACD法が経営者に突きつける新たな課題とは？

能動的サイバー防御（ACD）法の施行により変わる経営者の役割とサイバーリスク対応。コンプライアンスとレジリエンス確保に向け企業が取り組むべき課題について、詳しく解説します。

能動的サイバーセキュリティ – 新時代の幕開け

能動的サイバー防御（ACD）関連法の成立により、国家としてのサイバーセキュリティ戦略が大きな転換期を迎えました。従来の「受動的」な対応から「能動的」な取り組みへの移行が、本格的に求められています。

サイバーセキュリティ対応はもはやIT部門だけの課題ではありません。

経営層が主体的に判断・実行すべき経営課題であり、サイバー脅威を早期に検知・対応できる体制の構築が急務となっています。

ACD法の施行 - 経営層に求められる対応

経営陣主導のリスク管理：サイバーセキュリティはもはや、IT部門のみが担う技術的課題ではなく、経営層が統括すべき経営リスクです。取締役会や経営陣は、サイバーレジリエンスを事業経営における重要リスク領域として認識し、対応することが求められます。
迅速な報告体制の構築：重要国家インフラ分野の事業者（基幹インフラ事業者）は、セキュリティインシデント発生から24時間以内に適切な規制当局に報告することが義務付けられています。経営陣は、組織内のガバナンス体制を整備し、迅速な報告・対応体制を構築することが求められます。
プロアクティブなリスク管理：組織は、従来の受け身的なセキュリティ対応体制から逸脱し、プロアクティブな体制に移行することが期待されます。具体的には、重要システムの事前届出、国のサイバーセキュリティ機関とのメタデータの共有などが挙げられます。
サプライチェーンの監視・監督： ACD関連法への準拠は、組織のサプライチェーン・委託事業者も対象になります。組織の経営陣は組織外のリスク管理も必要になります。

ACD Compliance FAQ

よくある質問（FAQ）

ACDコンプライアンスの実務ガイド

Q：ACD法上、経営者の個人責任が問われることはありますか。

個人責任は問われません。しかし、経営層はより厳格にサイバーセキュリティのリスク管理を行い、責任を持つ必要があります。そのため、適切な監督体制と人員配置が必要です。

Q：ACD法の適用範囲はITシステムのみですか。

いいえ。ACD法は、運用技術（OT）や重要な業務プロセス、サプライチェーン全体も適用範囲となります。企業は包括的・全社的な対応体制が求められます。

Q：インシデント発生から何時間以内に報告する必要がありますか。

ACD法では、重大なサイバーインシデントの特定から24時間以内に報告を行うことが求められています。そのためには、インシデント発生時のエスカレーション体制を事前に整備し、経営層が直接インシデント管理に関わることが極めて重要です。

Q：能動的防御に関して、企業は何を求められていますか。

必要な経営資源を投入し、インシデントの早期検知および継続的監視を実現するとともに、必要なデータをサイバーセキュリティ機関と共有することです。これにより、従来の受け身型の防御体制からの脱却が図ることができます。

Edit Template

サイバー成熟度評価

日本サイバーディフェンス（NCD）では、組織のサイバーセキュリティ能力を包括的に診断する「サイバー成熟度評価サービス」を提供しています。このサービスは、現状の課題や強みを明確化し、組織が直面するリスクに対して最適な対策を講じるための土台を築くものです。さらに、全体的なセキュリティ態勢を強化するための戦略的なロードマップをご提案し、実効性のある改善計画をサポートします。