サイバー攻撃は、もはや画面の中だけで起きる事件ではない。空港の予約、港湾の荷役、病院の診療、発電所の制御、銀行の決済、自治体の住民サービス。社会の神経がデジタル化すればするほど、攻撃は生活そのものに届く。NECと英国のBAE Systemsが発表した覚書は、そうした時代の日本にとって、地味だが重要な一歩である。

6月15日、NECとBAE Systemsは、日本政府向けの能動的サイバー防御、いわゆるACDの実装に向けて協力する覚書を締結したと発表した。発表文によれば、両社はACDソリューションの共同開発、実装、提供を通じ、日本政府のサイバーセキュリティ態勢の強化を支援する。BAE Systemsは政府機関向けのサイバー・デジタル能力とACDの知見を持ち、NECは日本の政策・運用環境への理解、国内での実装力、技術基盤を持つ。両社はさらに、英国と日本のサイバーセキュリティおよび国家安全保障分野の産業関係者を結びつける事業協力の枠組みも検討する。

これは単なるベンダー提携ではない。日本が「攻撃を受けてから復旧する」国から、「兆候を読み、被害を未然に減らし、必要なら相手の攻撃基盤を無力化する」国へ移ろうとしている時期に出てきた産業ニュースである。

覚書の核心:ACDとは何か

2026年6月15日NECとBAE Systemsが覚書を発表
ACDActive Cyber Defence、能動的サイバー防御
日英2026年に戦略的サイバー・パートナーシップへ格上げ
重要インフラ電力、通信、金融、交通、医療などが中心課題
2027年日本のACD法制が全面施行へ向かう節目
50年以上BAE Systemsは日本で長期に活動
日本のサイバー防衛は、パスワードとファイアウォールの話ではなく、国家の神経をどう守るかという話になった。

ACDという言葉は、日本語では「能動的サイバー防御」と訳されることが多い。受け身の監視だけではなく、脅威情報を集め、兆候を分析し、攻撃インフラを特定し、被害を未然に防ぐ考え方である。国や制度によって意味の範囲は異なるが、共通しているのは、サイバー空間での防御を「壁を厚くする」だけでなく、「攻撃の準備段階を見つけ、被害が出る前に動く」方向へ進める点にある。

日本では、憲法、通信の秘密、警察権、自衛隊の役割、民間インフラの所有構造が重なり、ACDは長く慎重に扱われてきた。2022年の国家安全保障戦略は、重大なサイバー攻撃を未然に排除するため、能動的サイバー防御を導入する方針を掲げた。2025年にはACD関連法制が成立し、2027年の全面施行へ向けた準備が進む。今回のNECとBAE Systemsの覚書は、その制度を実際の能力に変えるための民間側の動きと読める。

なぜ英国なのか

英国は、サイバー防衛を安全保障、情報、外交、産業政策の交差点に置いてきた国である。BAE SystemsのDigital Intelligence部門は、政府機関や企業向けにサイバー、データ、デジタル・インテリジェンスの能力を提供してきた。NECとの発表でも、BAE Systemsは政府組織向けのサイバー・デジタル能力の長年の提供者として位置づけられている。

日英関係の文脈も大きい。2023年の広島アコードは、両国を「欧州とアジアにおける最も近い安全保障パートナー」と位置づけ、GCAP次世代戦闘機、共同演習、宇宙、サイバー、経済安全保障を結びつけた。2023年には日英円滑化協定(RAA)も署名され、部隊の相互訪問や共同訓練を容易にする仕組みが整えられた。2026年1月には、日英サイバー協力は「戦略的サイバー・パートナーシップ」へ格上げされ、脅威情報の共有、重要インフラ保護、サプライチェーン、サイバー人材、先端技術が柱に置かれた。

つまり、NECとBAE Systemsの覚書は、官民がばらばらに動いた偶然のニュースではない。国家間の安全保障協力、産業協力、技術協力の上に、企業同士の実装協力が乗った形である。

NECにとっての意味

NECは1899年、Western Electricとの合弁として創業した。日本の通信、電話、交換機、コンピューター、ネットワーク、官公庁システムとともに歩んできた企業である。戦後の日本で「インフラを動かす技術会社」として存在してきたNECが、英国の防衛・サイバー企業とACDで組むことは、歴史的にも象徴的だ。

通信の会社として始まったNECは、いまや通信が攻撃面になる時代の防衛側に立つ。昔の通信網は、国家の近代化の道具だった。現在の通信網は、経済、行政、医療、物流、防衛をつなぐ神経である。そこに侵入されれば、情報が盗まれるだけではない。社会が止まる。NECが国内運用環境への理解を持つことは、単に日本語の画面を作れるという意味ではない。官庁、自治体、通信事業者、金融、製造、交通、電力といった日本の現場の制約を知っているという意味である。

BAE Systemsにとっての意味

BAE Systemsは、英国を代表する防衛・航空宇宙・安全保障企業である。発表文では、世界40か国以上で約11万人の人材を抱え、軍事能力、国家安全保障、重要情報・インフラの保護に関わる技術を提供していると説明されている。日本でも50年以上活動し、艦砲、電子戦能力、水陸両用装甲車、GCAP次世代航空機プログラムなどで関係を持ってきた。

そのBAE Systemsが日本のACD実装に関わる意味は、サイバーが防衛産業の周辺分野ではなく中心分野になったことを示す。戦闘機、艦船、ミサイル、レーダーは、すべてソフトウェア、通信、データリンク、センサー、暗号、衛星、AIと接続される。物理的な防衛力は、サイバー空間の信頼性なしに動かない。BAE Systemsにとっても、日本市場でのサイバー協力は、GCAPや日英安保協力と同じ流れの中にある。

日本のサイバー政策の歩み

日本のサイバー政策は、長い間、情報システム管理、個人情報保護、行政のIT化、重要インフラ防護の延長として発展してきた。2014年のサイバーセキュリティ基本法は、国、地方公共団体、重要インフラ事業者、企業、市民の責務を整理し、サイバーセキュリティ戦略を策定する基礎を作った。NISCはこの枠組みの中で、政府全体の調整機能を担った。

だが2020年代に入ると、環境は大きく変わった。ランサムウェア、サプライチェーン攻撃、国家支援型のサイバー諜報、重要インフラへの破壊的攻撃、AIを使った詐欺や侵入支援。ロシアによるウクライナ侵攻は、ミサイル、ドローン、情報戦、サイバー攻撃が一体化する現代戦の姿を見せた。台湾海峡、東シナ海、南シナ海、朝鮮半島の緊張も、日本にとってサイバーを防衛の中心課題に押し上げた。

2022年の国家安全保障戦略は、そうした変化を受け、サイバー安全保障を防衛、外交、情報、経済安全保障と結びつけた。日本は、防衛力の抜本的強化を掲げる一方で、サイバー空間での攻撃を未然に排除する態勢を整えると明記した。今回の覚書は、その戦略が企業の実務へ降りてきた一例である。

重要インフラは誰が守るのか

サイバー防衛が難しいのは、守るべき対象の多くが民間にあるからだ。電力会社、通信会社、鉄道、航空、港湾、銀行、病院、クラウド、製造業の制御システム。これらは国家の基盤でありながら、日々の運用は民間企業が担う。政府が全てを直接守ることはできない。民間が単独で国家級の攻撃に耐えることも難しい。

そのため、ACDの実装は技術だけでなく、信頼の制度でもある。どのデータを誰が見るのか。通信の秘密をどう守るのか。攻撃元と見られるサーバーをどう扱うのか。警察、自衛隊、内閣官房、所管省庁、民間事業者、海外パートナーの役割をどう分けるのか。ミスが起きた場合の責任は誰が負うのか。こうした問いに答えなければ、能力だけが先走る。

NECとBAE Systemsの協力が重要なのは、まさにこの部分である。英国の運用経験だけでは、日本の法制度や行政文化には合わない。日本の国内実装だけでは、国際的な脅威インテリジェンスやACDの実戦知に届きにくい。両者の組み合わせが意味を持つのは、技術と運用、国内制度と国際経験をつなぐ橋になり得るからである。

「攻撃的」ではなく「能動的」という難しさ

ACDは、言葉の印象が難しい。能動的というだけで、攻撃的、監視的、軍事的という不安を呼ぶ。日本ではとくに、憲法、プライバシー、通信の秘密、戦後の安全保障観が重なるため、説明責任が欠かせない。

Japan.co.jpの見方では、ACDの正当性は三つの条件にかかっている。第一に、対象が明確であること。第二に、監督と透明性が制度化されていること。第三に、民間の信頼を壊さないこと。サイバー防衛は国民の生活を守るために必要だが、生活の通信を過度に監視する形になれば、社会の自由を損なう。強い防御と自由な社会は、同時に設計しなければならない。

日英サイバー・パートナーシップが「free, fair and secure cyberspace」を掲げている点は重要だ。安全だけではなく、自由と公正を同じ文に入れている。日本がACDを進める時も、その順番を忘れてはならない。

企業ニュースの背後にある産業政策

今回の覚書には、もう一つの意味がある。日本にサイバー人材とサイバー産業を育てるという意味である。NECとBAE Systemsは、英国と日本のサイバーセキュリティおよび国家安全保障分野のステークホルダーを結ぶ事業協力の枠組みを検討するとしている。これは、人材、訓練、製品、運用、標準、共同案件に広がる可能性がある。

日本はデジタル庁、NCO、経済安全保障、AI、半導体、クラウド、量子、ロボティクスを同時に進めている。しかし、どの分野もサイバーが弱ければ成立しない。AIデータセンターが攻撃されれば、AI産業政策は揺らぐ。半導体工場が侵入されれば、供給網は止まる。港湾のシステムが麻痺すれば、輸出入は滞る。サイバーは独立した一分野ではなく、すべての成長戦略の基礎である。

Japan.co.jpの見方

NECとBAE Systemsの覚書は、短い企業発表としては小さく見える。しかし、日英関係、日本のACD法制、重要インフラ防護、防衛産業、サイバー人材育成を一本につなぐと、かなり大きな意味を持つ。

日本は、サイバー空間で遅れを取る余裕がない。攻撃者は国境を気にしない。犯罪組織は企業の営業時間を待たない。国家支援型の攻撃者は、平時と有事の境界をぼかす。防御側だけが縦割り、時差、調達手続き、法的曖昧さに縛られていては、社会の神経は守れない。

ただし、強い能力は強い抑制と一緒に作らなければならない。今回の提携が成功するかどうかは、技術の高さだけでは測れない。日本の制度に合うか。重要インフラ事業者が信頼できるか。国民に説明できるか。日英協力が、単なる輸入ではなく、日本国内に技能と産業を残すか。そこが本当の評価軸になる。

サイバー防衛の時代は、見えない戦いの時代である。だが、見えないからこそ、制度、倫理、産業、人材、同盟を丁寧に設計する必要がある。NECとBAE Systemsの覚書は、その設計図の一部である。

読者のための要点

項目読み方
何が起きたかNECとBAE Systemsが、日本政府向けACDソリューション実装で協力する覚書を締結した。
なぜ重要か日本のサイバー政策が、受動的防御から能動的防御へ進む中で、実装を担う産業協力が動き出した。
日英関係2023年の広島アコード、RAA、2026年の日英戦略的サイバー・パートナーシップの流れにある。
リスク通信の秘密、プライバシー、監督、民間とのデータ共有など、制度設計が不可欠。
Japan.co.jpの見方これは企業提携であると同時に、日本の国家インフラをどう守るかという産業安全保障ニュースである。

Sources and references

この記事は、NEC、BAE Systems、英国政府、日本外務省、NCO/NISC、サイバーセキュリティ基本法、2022年国家安全保障戦略、ACD法制に関する公開資料を参考にしました。

  • NEC: BAE Systems and NEC sign MoU to strengthen Japan’s active cyber defence.
  • BAE Systems: Official BAE Systems release on the NEC MoU.
  • GOV.UK: UK-Japan Strategic Cyber Partnership.
  • GOV.UK: The Hiroshima Accord.
  • MOFA Japan: Signing of Japan-UK Reciprocal Access Agreement.
  • Japanese Law Translation: The Basic Act on Cybersecurity.
  • NEC: NEC corporate history.
  • Cabinet Secretariat: National Security Strategy of Japan, 2022.