2025年5月に成立した能動的サイバー防御法(ACD法)のうち、基幹インフラ事業者への主要な義務(資産届出・インシデント報告・協議会)が2026年10月1日に施行されます(法令の全体像と適用範囲は関連ブログ「能動的サイバー防御(ACD)への備え」をご参照ください)。
従来の「被害を受けてから対処する」という受動的な防御姿勢から脱却し、攻撃を能動的に検知・阻止し、迅速に報告・情報共有することを法的義務として定めるものです。
対象は、金融・電気・電気通信・鉄道・水道など15業種の基幹インフラ事業者。これら事業者に課せられる義務のうち、サイバー攻撃を受けた場合の対応として主に下記の3つの対応※が必要となります:
<表:基幹インフラ事業者によるインシデント報告等の義務>
| 義務※ | 内容 |
|---|---|
| 能動的検知・阻止 | 攻撃の兆候を事前に検知し、被害発生前に遮断・対処すること |
| 迅速な報告 | インシデント発生後、法定時間内に所管省庁へ報告すること |
| 官民情報共有 | 脅威情報を政府・NCO (国家サイバー統括室)と双方向で共有すること |
※ACD法で定められた基幹インフラ事業者の義務事項のうち、個別のインシデントへの対応として必要となるものを抜粋。他、特定重要電子計算機の届出対応や脆弱性対応などは本稿対象外
背景には厳しい現実があります。不審通信の通報件数は2021年の41件から2024年には238件へと約5.8倍に急増。MirrorFace、TraderTraitorといった国家背景を持つAPT (高度持続型脅威)が、基幹インフラを標的とした攻撃を現実に行っています。
「問題が起きてから対応する」では、もはや間に合わない時代が到来しています。
多くの基幹インフラ事業者が現在直面している課題は共通しています。
これらは個別の検知ツールや連絡方法の改善のみでは解決しません。検知〜報告〜共有を一体的に支える基盤の存在が不可欠であると考えます。
<表:基幹インフラ事業者が直面する課題と解決方針>

Splunkは、ACD法が求めるインシデント対応の義務に対して、7つのプロセスステップを通じた一貫したサポートを提供します。以下に、各ステップとSplunkの機能の対応を説明します。
<表:Splunkを用いたインシデント対応プロセス定義(To-Be)>

ACD法の要件との接続:能動的検知の前提となる資産把握
ACD法が定める「特定重要電子計算機」を正確に監視するには、IT・OT双方にわたる資産の全体像を把握することが出発点です。
Splunkは、特定重要電子計算機に接続・関連するIT機器・ソフトウェア構成・OT情報を自動・個別収集し、統合管理することで、資産間の関係性を常時把握。インシデント発生時に、影響を受けた資産の特定と、関連システムへの波及範囲の即時評価を可能とします。
(対応機能:Splunk EA (Exposure Analytics) *Splunk ES機能)
ACD法の要件との接続:攻撃の能動的阻止
LotL攻撃のように正規ツールを悪用する高度な攻撃は、単一製品では検知できません。SplunkはIT・OTを横断したリアルタイムログ収集と相関ルールによる行動ベースの異常検知を実現します。
全エンドポイントを横断してLotL行動パターンを検知し、脅威ハンティングクエリを標準化。APTの早期発見を、属人的なスキルに依存せず組織的に実行できます。
(対応機能:Splunk Enterprise / Splunk Cloud Platform (Splunk CORE)、Splunk ES (Enterprise Security)、UEBA (User and Entity Behavior Analytics) *Splunk ES Premier機能)
ACD法の要件との接続:法定時間内の迅速報告(速報フェーズ)
アラート発生から速報送付までの時間が、ACD法対応の最初の関門です。
Splunkは初期対応のプレイブックを自動起動。IT・業務系への影響確認、経営層へのエスカレーション、所管省庁への速報送付までを自動化・標準化し、人手に頼った遅延を排除します。
(対応機能:SOAR (Security Orchestration, Automation and Response) *Splunk ES Premier機能)
ACD法の要件との接続:報告内容の精度向上・根本原因の特定
速報の後、正式報告に向けた詳細調査が求められます。
Splunkのフォレンジック支援機能により、詳細ログ・証跡を提供し、侵害タイムラインを構築。攻撃手法・経路を特定し、特定重要電子計算機への影響範囲を正確に評価します。IT・OT双方のログを一元的に分析できることが、Splunkの強みです。
(対応機能:Splunk CORE、Splunk ES)
ACD法の要件との接続:法定フォーマットによる正式報告
インシデントは、内容・影響・対応状況を整理し、統一フォーマットで経営承認・提出まで完結させる必要があります。
Splunkは報告に必要となる情報(インシデント概要、影響資産、対応履歴、タイムライン等)を自動生成・出力します。これにより、担当者は事象の影響評価と対応判断に注力いただけ、後続の経営層・CISOによる承認から所管省庁への提出を迅速化します。手作業による情報収集工数を大幅に削減し、報告期限の遵守と品質の均質化を実現します。
(対応機能:Splunk CORE、Splunk ES)
ACD法の要件との接続:攻撃の能動的阻止・被害拡大防止
検知・報告と並行して、攻撃の封じ込めを迅速に実行することが求められます。
SplunkはプレイブックによりFW・EDRへの自動指示、感染端末の隔離、IPアドレス遮断、OTプロセス制御を自動実行。手動対応では数時間かかるプロセスを、分単位で完結させます。
(対応機能: SOAR *Splunk ES Premier機能)
ACD法の要件との接続:官民情報共有・継続的防御力の向上
インシデント対応の最終ステップは、次の攻撃への備えです。
事後レビューを通じて検知ルール・BCPを更新。政府・NCOからフィードバックされた脅威情報をサイバーセキュリティ対応ルールに即時反映し、検知精度を継続的に向上させます。官民の情報フローをSplunkが媒介することで、双方向の脅威情報共有を組織的に実装できます。
(対応機能:Splunk CORE、SOAR *Splunk ES Premier機能)
なぜSplunkが必要なのか:3つの本質的価値
| 義務※ | Splunkが解決する課題 | 提供価値 |
|---|---|---|
| 能動的検知・阻止 | LotL・APTをEDR単独で検知できない |
IT/OT横断・行動ベース相関検知 |
| 迅速な報告 | 手動では法定時間に間に合わない | 報告内容の自動生成 |
| 官民情報共有 | 独自形式・手作業が即時性を阻害 | 脅威フィード自動取込・双方向連携 |
ACD法は、基幹インフラ事業者にとって単なるコンプライアンス対応ではありません。攻撃者より先に動くための組織能力を、法的枠組みとして整備する機会です。
しかし、検知・報告・情報共有を個別のツールで対応しようとすれば、連携の断絶・工数の肥大・対応の遅延という構造的限界に再び直面します。
Splunkは、Splunk統合プラットフォームの機能群により、7つのプロセスステップを一貫してサポートします。ACD法が求める「能動的防御」を、現場の負担を増やさずに実現するための基盤として、Splunkはその役割を果たします。