フランスの新サイバー防衛戦略

2025年3月、フランスのサイバーセキュリティ当局であるANSSI¹（Agence nationale de la sécurité des systèmes d’information）がサイバーセキュリティ全般に関する戦略計画「Plan stratégique de l’Agence nationale de la sécurité des systèmes d’information」（以下「戦略計画」といいます）を公表しました²。これは、2019年のANSSI発足10年に合わせて公表された「マニフェスト」（Manifeste³）に続く位置付けとなります。

戦略計画自体は非常に単純な構成で、ANSSIの運営方針や大まかな戦略をまとめたものです。
補足として、同戦略計画から間もなく公開されたサイバー脅威に関する資料「Panorama de la Cybermenace 2024」⁴（以下「脅威パノラマ」といいます）も合わせて参照します。

本記事では「戦略計画」を参考にフランス当局のサイバー防衛戦略を紹介するとともに、フランスによるサイバー領域の脅威認識を検討します。

ANSSI：フランスのサイバーセキュリティ当局

ANSSIはフランス国防安全保障局（SGDSN）⁵傘下の機関であり、政府等公的機関および規制対象となる事業者の情報セキュリティ対策を担当します。

フランスだけでなく各国がこのような政府のサイバーセキュリティ機関を運営しています。
ANSSIの位置づけは米国のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA⁶）や、英国の国立サイバーセキュリティセンター（NCSC⁷）、ドイツの連邦情報セキュリティ庁（BSI⁸）等に相当するといえます。
またANSSIはEUのサイバーセキュリティ機関であるENISA（European Union Agency for Cybersecurity⁹）と連携し、代表を派遣しています。

我々が目にする活動としては、傘下機関の国家CERT¹⁰（コンピュータ・インシデント対応組織）であるCERT-FR¹¹によるセキュリティ啓発や注意喚起等がよく知られています。

フランスのサイバー政策は攻撃作戦と防御作戦をそれぞれ別の領域として峻別するものであり、ANSSIは情報システム等のセキュリティ防御全般を担当します。
なお、攻撃的なサイバー作戦はフランス軍や情報機関（DGSE¹²等）が分担しています¹³。

戦略計画2025-2027

このANSSI戦略計画はAIやクラウド、量子暗号といったテクノロジーの進展や、ロシア・ウクライナ戦争に代表される世界情勢の変化に適応する意味合いを込めて制定されました。

戦略計画では、ANSSIをフランスにおけるサイバーセキュリティ戦略の中核と定義するとともに、戦略として4つの軸を提示しています。

• サイバー脅威の増大に対する対応の強化・協力
• サイバー脅威に対抗するための専門知識の発展
• 欧州・国際的なサイバーセキュリティ対策の促進
• 社会的課題検討の強化

EUを構成する主要国であるフランスはサイバーセキュリティ戦略においてもEU全域を視野に置いており、欧州議会が定めた以下のサイバーセキュリティ関連法も言及されています。
NIS2指令¹⁴、サイバーレジリエンス法¹⁵、AI規制法¹⁶といったEUの法律は、各加盟国に対しサイバーリスクに対する抵抗力・回復力（レジリエンス）を確保するための法整備を要求するものです。

ミッション

フランスのサイバーセキュリティ・サイバー防護担当部局であるANSSIは、防護、知識集積、情報共有、支援、規制という5つの任務を付与されています。

サイバーセキュリティ防護においては、国家システムや重要システムの防護や、サイバー攻撃からの国民の保護、サイバー空間における国際的な安定の推進が掲げられています。

知識面では、サイバーセキュリティに関する最新技術や、最新の脅威およびリスク、世界のトレンド等を集積する中心であることを期待されています。
CERT-FRの活動が示すように、ANSSIは情報共有を促進する機関として、このような最新の知見や調査結果を国民や戦略的パートナー等に共有・普及することで、サイバーリスクの低減を促進します。

また「支援」任務においては、サイバーセキュリティ政策を実施し、関連する情報の共有、対策支援、訓練等を実施することで、民間企業や組織のセキュリティ向上を支援します。

規制当局としては、EU法であるサイバーレジリエンス法が規定するような、デジタル製品・サービスのセキュリティ基準に関する認証といった業務を担当します。

4つの戦略軸

戦略計画の柱として、ANSSIが提示する4つの軸（Axis）は以下のとおりです。

第1の軸はサイバー脅威対応力の強化です。

サイバー攻撃やサイバー犯罪といった脅威が政府に留まらず社会のあらゆる領域（組織、企業等）において課題となるにしたがい、フランスではサイバー攻撃等に対応する団体や組織が新たに誕生しました。ここでは、公益法人的な位置付けのGIP ACYMA¹⁷（サイバー被害救済等を目的として設立された団体）や、各自治体・官庁のCSIRT（サイバー攻撃対処チーム）、セキュリティ関連の事業者、内務省軍や各軍、検察等が例示されています。
ANSSIはこういった各領域・地域におけるサイバーセキュリティ組織・機関との連携・協力を強化を戦略の軸に掲げます。

ANSSIが担任する法律としては前述のNIS2やサイバーレジリエンス法の他、eIDAS¹⁸（EUの電子的識別認証サービスに関する規則）にも言及しています。
またCERT-FRの運営等を通じた国家重要システムの防護も重要任務の1つです。

第2の軸はサイバー脅威に備える知識・技術の開発です。ANNSIは国家のサイバー防衛体制を確立させるため、研究機関等と連携しサイバーに関連する技術を強化し、得られた知識を広く共有するとしています。
具体的には研究開発やCERT組織・CSIRT間の知見共有促進を挙げています。

第3の軸、欧州間および国際的な活動の促進では、EU諸国や、域外の各国との連携を強調します。

最後の軸は、ANSSIの活動を、あらゆる領域の社会問題の検討や解決に向けて強化するという若干漠然としたものです。
非サイバーセキュリティ領域である環境保護やエネルギー、ジェンダー、包括性、プライバシーや自由といった課題に関しても目を向けることをうたっています。

施策としては、PC更新等の業務に際し環境へのインパクトを考慮したり、採用や人事に関して多様性や包括性を重視たりといったもののようです。組織としての透明性や情報公開も取り組みの一環に含まれます。

2019年戦略からの変化

2019年、ANSSI創設10周年を期して公開された「マニフェスト」は、戦略計画のような構造的な文書ではなく、ANSSIのこれまでの歩みや現状、未来をプレスリリース風に記述した内容となっています。
「マニフェスト」では、特に注目すべきテクノロジーとしてAI/ML、仮想化、5Gといった要素が挙げられており、技術の発展にあわせて国家や犯罪グループによるサイバー脅威も増大することが警告されます。この脅威で看過できないのは、サイバー犯罪を含む脅威が国家のみならず社会のあらゆる領域にまで影響を及ぼしつつある点です。

米中の巨大テクノロジー企業（ビッグテック）が時に国家を凌駕する力を示す中で、フランスはEUの中核としてサイバー領域における主権を確保する役割を担わなければならないと考えています。

なお、このマニフェストでも、フランスにおけるサイバー攻撃と防衛の分離（et une séparation stricte entre les missions de défense et de sécurité numériques, confiées en large partie à l’ANSSI, et les missions cyberoffensives）が強調されています。ANSSIは、サイバー防衛を包括的に担任する機関として定着することができたと文書は強調します。

戦略項目としては、官民に対するDXの支援、サイバーセキュリティ教育やエキスパート養成政策への貢献、EUや関係機関等とのパートナーシップ強化、サービスや研究開発・イノベーションの促進を掲げています。

以上を検討すると、2025年3月の戦略計画はANSSIのこれまでの方針をさらに強化しつつ、よりサイバー脅威とその対応に焦点を当てたものであると考えることができます。

フランスに迫るサイバー領域の脅威

最後に、フランスがサイバー領域における脅威をどのように認識しているかを2025年3月11日に公開された「脅威パノラマ」に基づき検討します。

この文書は、2024年に観測されたサイバー攻撃に関するデータに基づき、攻撃の機会、手段、目的の項目建てにより、ANSSIの視点からみた脅威を概説したものです。

ANSSIは文書の中で、中国およびロシアのサイバー攻撃、サプライチェーンを狙った攻撃、ランサムウェア、スパイウェア企業等の「雇われ」民間企業が大きな脅威となっていることを指摘しています。

こうした脅威は、フランスのみならず各国が直面しているアクターです。サイバー攻撃の大半は国境を超えたネットワークやデバイスを動員して行われるため、国際的な協力と連携の枠組みが必要とされます。

最後に

フランスのサイバー防衛に関する取り組みを把握するには、今回取り上げた公的文書だけでなく国際刑事警察機構（INTERPOL）によるサイバー犯罪取り締まりや、各国サイバー当局が公開する合同文書、フランス国内におけるサイバー攻撃事例に関する報道を継続的に監視する必要があるでしょう。

1. https://cyber.gouv.fr/ ↩︎
2. https://cyber.gouv.fr/actualites/lanssi-publie-son-plan-strategique-2025-2027 ↩︎
3. https://cyber.gouv.fr/sites/default/files/document/Manifeste%20de%20l%27ANSSI.pdf ↩︎
4. https://cyber.gouv.fr/publications/panorama-de-la-cybermenace-2024 ↩︎
5. https://www.sgdsn.gouv.fr/ ↩︎
6. https://www.cisa.gov/ ↩︎
7. https://www.ncsc.gov.uk/ ↩︎
8. https://www.bsi.bund.de/EN/Home/home_node.html ↩︎
9. https://www.enisa.europa.eu/ ↩︎
10. https://www.jpcert.or.jp/tips/2006/wr063701.html ↩︎
11. https://www.cert.ssi.gouv.fr/ ↩︎
12. https://www.dgse.gouv.fr/en ↩︎
13. https://www.iiss.org/globalassets/media-library—content–migration/files/research-papers/cyber-power-report/cyber-capabilities-and-national-power—france.pdf ↩︎
14. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive ↩︎
15. https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act ↩︎
16. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai ↩︎
17. https://www.cybermalveillance.gouv.fr/ ↩︎
18. https://digital-strategy.ec.europa.eu/en/policies/eidas-regulation ↩︎