サイバーセキュリティ基本法とは？制定の背景や概要と改正内容についても解説！

サイバーセキュリティ基本法とは、日本のサイバーセキュリティに関する施策を推進し、基本理念を定め、2014年に制定された法律です。インターネットの普及に伴い、サイバー攻撃の巧妙化、高度化は日々進んでいます。情報漏洩やシステム障害は個人のみならず日本社会全体に深刻な被害を及ぼす可能性があるため、制定されました。

本法律は、日本国民がサイバー空間を安心安全に活用でき、サイバーセキュリティに関わる施策を総合的、効果的に推進するための基本指針となるものです。

サイバーセキュリティ基本法の基本理念は、本法律の第三条にて定めています。

以下が、サイバーセキュリティ基本法の基本理念の要約です。

これらの理念の下に、施策が実施されます。

参考：e-GOV法令検索「平成二六年法律第百四号サイバーセキュリティ基本法」

サイバーセキュリティ基本法の目的は、本法律の第一条に定められています。要約すると次の通りです。

“この法律は、サイバーセキュリティに関する施策を総合的かつ効果的に推進し、経済社会の活力の向上および持続的な発展、国民の安全安心な暮らしの実現を図るとともに、日本の安全保障に寄与することを目的とする”

参考：e-GOV法令検索「平成二六年法律第百四号サイバーセキュリティ基本法」

サイバーセキュリティ基本法の前には、通称IT基本法と呼ばれる「高度情報通信ネットワーク社会形成基本法」という法律が2001年に施行され、定められていました。2005年には内閣官房により「情報セキュリティセンター」が設置されました。

しかし、その後も大企業や官庁を標的にしたサイバー攻撃は後を絶たず、被害件数や規模の拡大は止まりませんでした。サイバー攻撃が巧妙化・高度化したため、国家レベルでのセキュリティ戦略強化が必要となりました。

サイバー攻撃の深刻化は、日本国内だけの話ではありません。IPA（独立行政法人情報処理推進機構）によると、2010年前後には、国家の安全保障と危機管理上の課題として、国際規模のサイバー攻撃を意識していたとされています。

2009年には、イランの核開発施設を標的にしたマルウェア「Stuxnet」が発見され、同時期に中東諸国を狙ったマルウェア「Flame」も出現しました。これらの被害報告を受け、国際的な安全保障の課題であるとサイバー攻撃が認識されるようになりました。

サイバーセキュリティ基本法の制定には、東京オリンピック（2020年）の開催決定も影響しています。2008年開催の北京オリンピックでは、大会開催中に1日に約1,400万回のサイバー攻撃が仕掛けられたと言われています。2012年開催のロンドンオリンピックでは、大会開催期間中に1億6千万回のセキュリティ障害が発生し、100件近いサイバー攻撃が仕掛けられたと言われています。

これらを受けて、2020年の東京オリンピックに向けて、日本政府はサイバー攻撃の対策を強化する必要がありました。

ここまで、サイバーセキュリティ基本法の目的や制定された背景を説明しました。それでは同法の具体的な内容はどのようなものなのでしょうか。

サイバーセキュリティ基本法の内容は、次の通りです。

サイバーセキュリティ基本法の基本的施策では、国が主導的な役割を果たし、幅広い施策を講じることが定められています。

人材確保や官民連携体制の構築、相談窓口の設置など、サイバーセキュリティ対策に関する総合的な取り組みが盛り込まれています。特に、内閣サイバーセキュリティセンター(NISC)とサイバーセキュリティ戦略本部が中心的役割を担うこととされています。

サイバーセキュリティ基本法では、サイバーセキュリティ戦略を第十二条の第二項において、次のように定めています。

政府は、このようにサイバーセキュリティに関する施策の総合的、効果的な推進のため、サイバーセキュリティ戦略を定めないといけません。

また同じく第十二条の六項では、政府はサイバーセキュリティ戦略の実施に必要な財源の確保に努めるように定めています。

参考：e-GOV法令検索「平成二六年法律第百四号サイバーセキュリティ基本法」

サイバーセキュリティ基本法の第二十五条、第二十六条では、サイバーセキュリティ戦略本部の設置を定め、本部の事務の内容を規定しています。

サイバーセキュリティ戦略本部の事務内容は次の通りです。

サイバーセキュリティ戦略本部は、その為に2015年1月に内閣に設置された組織です。

参考：e-GOV法令検索「平成二六年法律第百四号サイバーセキュリティ基本法」

2014年に施行されたサイバーセキュリティ基本法ですが、その後も個人情報の漏えい事件が相次ぎました。進化の早いネットワーク環境の変化に対応するため、同法は定期的に内容の見直しと改正が実施されています。

改正に至った背景と合わせて解説していきます。

2016年の改正では、NISC（内閣サイバーセキュリティセンター）の調査可能な対象が拡大され、独立行政法人も含まれるようになりました。本改正の1年前に、日本年金機構で個人情報が流出する事案が発生しました。当時のNISCの調査可能な範囲は中央省庁に限られていた為、十分な調査や対策を実施できませんでした。

また本改正により、NISCの監視や調査の業務量が増加したので、一部業務をIPAへ委託できるように変更されました。

2018年のサイバーセキュリティ基本法の改正では、官民が連携して対策を行えるように「サイバーセキュリティ協議会」が設立されました。同年の韓国冬季オリンピックの開催時に多数のサイバーテロ攻撃が発生したことで、被害軽減のための対策を各国で求められました。

日本では2020年開催の東京オリンピックが控えていたため、オリンピック開催に備えるための法改正でした。さらに本改正では、日本国内外に関わらず必要各所に迅速に連絡ができるようになりました。

2021年では、今後3年間のサイバーセキュリティに関わる施策目標、実施方針が策定されました。

その主な構成は、以下の通りです。

第1部では、経済社会の継続的な発展、国民が安心安全に暮らせるデジタル社会の実現、サイバー空間における国際的な動向、横断的施策について触れています。第2部ではサイバーセキュリティ政策の基本的な枠組みや戦略に基づく昨年の実績と評価、2021年度に向けての取り組みに言及しています。

このようにして、サイバーセキュリティ基本法では、サイバー空間の国際的な情勢を視野に入れながら、改正と見直しを繰り返してきました。

重要インフラとは、国民の衣食住に関わる基盤のサービスを指します。2017年に内閣サイバーセキュリティが発表した第4次行動計画では、以下の13分野が重要インフラと定義されています。

政府は、前述の重要インフラを提供するサービスベンダーには、サイバーセキュリティ対策の実施を義務付けようとしています。さらに2022年には、対策規定がより厳しくなる第4次行動計画改正案が提出されました。国民生活に必要不可欠なインフラが、サイバー攻撃で機能不全に陥れば甚大な影響が生じるためです。

重要インフラのサービスを安定供給するには、事業者による適切なセキュリティ対策が欠かせません。そのため各省庁は、重要インフラ事業者と連携を密にし、対策が徹底されるよう指導・支援していく必要があります。サイバー空間の脅威から国民を守り、安心できる社会基盤を維持することが求められているのです。

重要インフラにおけるサイバーセキュリティ対策が強く求められている背景には、世界的にICTの活用が浸透してきたことが挙げられます。IT技術は人々の生活を豊かにもしますが、マルウェアや不正アクセスなどのサイバー攻撃を受けるリスクも有しています。

サイバー攻撃の被害件数も年々増加傾向にあります。重要インフラを提供するベンダーは、悪意ある第三者からの攻撃で、国民の生活を揺るがすような事態を避けなければなりません。

では、重要インフラのベンダーはどのような施策を実行すべきなのでしょうか。政府は、以下のような対策を自主的に行うことを期待しています。

重要インフラを提供するベンダーは、サイバー攻撃に対するあらゆる対策、リスクマネジメントの整備、防護基盤の強化を政府より求められています。着手できるところからで大丈夫なので、徐々に対策強化を進めていくことが大事です。

これまでは、サイバーセキュリティ対策における政府の取り組みなどを紹介してきました。政府だけではなく、法人が取り組めることはないのでしょうか。

ここでは、法人レベルのサイバーセキュリティ対策について具体的に解説します。法人におけるセキュリティ対策は、事業継続性を確保するためにも重要です。

基本的なことではありますが、自社の従業員へのサイバーセキュリティ教育は、組織内のサイバーセキュリティレベルの向上に有効です。従業員一人ひとりのセキュリティリテラシーが上がれば、組織全体のセキュリティレベルも比例して向上し、リスクを軽減できます。

役職者や責任者だけでなく、末端の従業員にも教育プログラムを実施し、マルウェア感染やフィッシング詐欺の脅威について、教育しておきましょう。社員全員でセキュリティ意識を持ち、危機感を持てば、確実にセキュリティリスクを低減できます。

こちらも基本的な対策ですが、外部からのサイバー攻撃を防ぐには、セキュリティ対策ソフトを導入するのが有効です。アンチウィルスソフトには様々な機能があります。

ウィルスの検知とアラート、不審なデバイスからのアクセス自動制限など、企業が必要とする機能を搭載したソフトウェアを導入しましょう。

パスワード設定と管理の強化も、基本的ですが、サイバーセキュリティ対策において、重要な対策です。パスワード設定と管理の強化を実施することで、不正アクセスなどのサイバー攻撃を受けにくくなります。

具体的には、パスワード管理者を特定の責任者のみに委任する、多要素認証を取り入れる、などが挙げられます。

OSやソフトウェアを最新版へ常にアップデートすることも忘れずに行いましょう。ついつい後回しになり、疎かになってしまう企業も多いと思います。

OSやソフトウェアのアップデートには、発見されたシステムの脆弱性の改善や新しいサイバー脅威への対応が含まれています。システムの安全性を高めるために、定期的に適用しましょう。自動アップデート機能を有効にすることで、忘れずに実施できます。

政府からのサイバーセキュリティ対策として、経済産業省による「サイバーセキュリティ経営ガイドライン」が発行されています。こちらのガイドラインでは、経営者が認識すべき事項、サイバーセキュリティリスクの管理体制構築、インシデント発生時の緊急対応体制の整備についてなどが記載されています。

ガイドラインを元に従業員教育やセキュリティに関する情報共有を行うことで、組織全体のセキュリティレベル向上を図れます。ぜひ、こちらのガイドラインを自社の従業員へ共有しましょう。

参考：経済産業省「サイバーセキュリティ経営ガイドラインVer3.0」

2020年に新型コロナウィルスが蔓延し始めたことから、急速に企業のテレワーク需要が高まりました。その時代背景もあり、総務省からテレワーク環境でのセキュリティガイドラインが発表されました。

ガイドラインには、テレワーク時のセキュリティ対策の紹介や解説、トラブル事例と対処方法を掲載しています。こちらのガイドラインを参考に、企業の役職者だけでなく、従業員が各々サイバーセキュリティ対策を行なっていかなければなりません。

参考：総務省「テレワークガイドライン第5版」

本記事では、サイバーセキュリティ基本法の基本理念や目的、政府が講じる施策について解説してきました。また、法人におけるセキュリティ対策の具体例も紹介しました。サイバーセキュリティ基本法が示すのは、セキュリティ対策の基本的な考え方であり、実際の対策実施には更なる取り組みが必要です。

サイバーセキュリティ基本法を理解しただけでは、法人や個人がセキュリティ対策を適切に実施することは難しいでしょう。そのため、本記事で紹介した各種ガイドラインなどを参考に、具体的な対策を実践していくことが重要になります。

サイバーセキュリティ基本法の改正や、関連するガイドラインの変更は今後も予想されます。従って、政府の発表に常に注視し、最新の動向を確認しながら、適宜セキュリティ対策を見直していく必要があるでしょう。サイバー空間の脅威に適切に対処するには、常に対策を講じることが肝心です。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです、
無料で相談可能ですので、まずはお気軽にご相談ください。

>>無料でのお問い合わせはこちら