エストニアのサイバーセキュリティ戦略と我が国の能動的サイバー防御の取り組みについて

　デジタル・トランスフォーメーション（DX）は、現代社会の競争力を左右する国家戦略の中核となっている。なかでもエストニアは、小国でありながら電子政府やデジタル社会の先進国として国際的な注目を集めている。

　その背景には、独特の歴史的経緯と戦略的な意思決定がある。バルト三国は、ロシアに包囲される形で国境を接しているため、冷戦後独立し新西欧路線をとった後も、つねに背後に脅威を感じてきた。1991年の再独立以降、エストニアはITインフラと人材育成に国家資源を集中投資し、2001年には電子政府基盤「X-Road」の運用を開始して行政や民間のデータ連携を効率化。これにより、行政手続きの99％以上がオンラインで完結する社会を実現している。地政学的特性からくる脅威に加え、狭隘な国土と少ない資源、約137万人^*1と少ない人口、GDP成長率の減少など、多くの制約や課題を抱える小国としては生き残るための戦略であったと想像できる。

　こうしたDX戦略を支える重要な柱の一つがサイバーセキュリティである。エストニアは2007年、3週間にも及ぶ大規模なサイバー攻撃を受け、政府サイトや金融機関のサーバーが一時的にインターネットから遮断されるなど、国民生活に多大な影響が出た。この経験を契機に、サイバーセキュリティ対策を国家戦略の最優先事項として位置づけ、官民連携による防御体制の強化や迅速な復旧力（レジリエンス）向上を推進してきた。直近では2024年に「サイバーセキュリティ戦略2024–2030」を策定し、さらなる体制強化を目指している。

　エストニアのサイバーセキュリティ戦略では、重要サービスの監視強化や危機対応力の向上などが優先されており、サイバーシールドの強化や将来技術のリスク評価、インターネットサービスプロバイダーとの連携による脅威の全体像把握、欧州連合や他の国々との協力などの推進が揚げられているが、米国などが採用する積極的介入を含む能動的サイバー防御（Active Cyber Defense: ACD）^*2と異なり、受動的防御策を中心に据えている。この選択にはいくつかの背景がある。第一に、人口規模が小さく、サイバーセキュリティ分野の専門人材や先端技術リソースが限られているため、持続的な積極介入の運用が難しいこと。第二に、2007年のサイバー攻撃以降、防御と復旧力強化を最優先とする国家戦略が採られていること。第三に、EU加盟国としてGDPR^*3等の厳格なプライバシー法制下にあり、積極的介入には法的・倫理的制約が大きいこと。そして、NATOサイバー防衛センター（Cooperative Cyber Defence Centre of Excellence：CCDCOE）の設置国として国際協調を重視し、単独でのサイバー反撃が国際社会との摩擦や外交問題を招くリスクを避ける必要があることが挙げられる。

　一方、日本のサイバーセキュリティ戦略は、サイバー攻撃の高度化・多発化を踏まえ、従来の受動的な防御から能動的サイバー防御への転換を図っている。2024年6月7日よりサイバー安全保障分野の対応能力の向上に向けた有識者会議が開催され、同会議が取りまとめた提言を受けて 2025年2月7日に「サイバー対処能力強化法（強化法）案」および「同整備法案」が閣議決定、その後、国会での審議と修正を経て、同年5月に本法が成立、公布されている。

　現在は、この法律の公布を受け、官民連携の強化や能動的サイバー防御の実運用に向けた体制整備などが進められている。ただし、本格運用までには多くの課題が残されており、法制度の整備や情報共有体制の強化、人材・技術基盤の充実、さらには国際協調の推進といった多角的な取り組みを段階的に進める必要がある。実際に有識者からも、能動的サイバー防御の導入に際しては現場の実情を十分に踏まえつつ、防御能力向上のための優先順位を明確化し、実効性を意識した段階的な施策の推進が重要であるとの指摘がある。

　このような状況下、受動的防御を維持しつつ基礎体制の整備を進め、段階的に能動的防御へ移行するのが合理的であり、また能動的防御にあたっては国際協調の枠組みを構築しつつ移行する必要がある。この意味において、エストニアの国際協調型アプローチは、日本が能動的サイバー防御を本格運用するまでの移行期間において、有効かつ現実的な戦略として参考になり得る。エストニアはNATO CCDCOEなど国際枠組みを活用し、多国間協調・情報共有による抑止力とレジリエンス強化を実現している。日本においては、日米同盟を基軸としながら、オーストラリア、インド、ASEAN、欧州などの同志国とも連携し、外部知見やパートナーシップを活用しながら段階的に能力を高めていくことが現実的な道筋となる。

　日本独自の強みを活かしたサイバーセキュリティ体制の構築にあたり、今後もエストニアの戦略を注視しつつ国際協調を基盤としながら能動的防御への移行を着実に進めることは、サイバーセキュリティ戦略の成功に繋がるだろう。

• 国際通貨基金（IMF）”World Economic Outlook Database, April 2025” 2025. https://www.imf.org/en/Publications/WEO/weo-database/2025/april （2025.8.1閲覧）
• サイバー攻撃を未然に防ぎ被害拡大を防止するため、従来の受け身で守る受動的防御だけでなく、攻撃の兆候を事前に把握し、その主体を特定するとともに、その排除のため積極的に無害化等の措置を講ずる対策の枠組み。
• GDPR（General Data Protection Regulation、一般データ保護規則）は、EU域内の個人のデータ保護を強化し統合するために制定された欧州連合の法的規則。