Magazine
Quantsマガジン
サイバーセキュリティ基本法とは?制定の背景や概要と改正内容についても解説!
サイバーセキュリティ基本法とは、サイバー空間の脅威に対し、ユーザーが安心してインターネットを活用できる環境を整備するため、2014年に制定された法律を指します。本記事では、サイバーセキュリティ基本法の内容や制定された背景、改正について説明します。
目次
サイバーセキュリティ基本法とは
サイバーセキュリティ基本法とは、日本のサイバーセキュリティに関する施策を推進し、基本理念を定め、2014年に制定された法律です。インターネットの普及に伴い、サイバー攻撃の巧妙化、高度化は日々進んでいます。情報漏洩やシステム障害は個人のみならず日本社会全体に深刻な被害を及ぼす可能性があるため、制定されました。
本法律は、日本国民がサイバー空間を安心安全に活用でき、サイバーセキュリティに関わる施策を総合的、効果的に推進するための基本指針となるものです。
サイバーセキュリティ基本法の基本理念
サイバーセキュリティ基本法の基本理念は、本法律の第三条にて定めています。
以下が、サイバーセキュリティ基本法の基本理念の要約です。
- 情報の自由な流通の確保の為、国、公共団体および重要社会基盤事業者などの連携により、積極的に対応すること
- 国民一人ひとりがサイバーセキュリティに関する知識を深め、自発的に対応することを促し、被害から迅速に復旧できる体制構築のための取組を積極的に推進すること
- 高度情報通信の整備および情報通信技術の活用による活力ある経済社会の構築に積極的に取組むこと
- サイバーセキュリティに関する施策の推進は、国際社会にとって共通の課題であり、国際的協調の下で行うこと
- デジタル社会形成基本法の基本理念に配慮すること
- 日本国民の権利を不当に侵害しないこと
これらの理念の下に、施策が実施されます。
サイバーセキュリティ基本法の目的
サイバーセキュリティ基本法の目的は、本法律の第一条に定められています。要約すると次の通りです。
“この法律は、サイバーセキュリティに関する施策を総合的かつ効果的に推進し、経済社会の活力の向上および持続的な発展、国民の安全安心な暮らしの実現を図るとともに、日本の安全保障に寄与することを目的とする”
サイバーセキュリティ基本法が制定された背景
サイバーセキュリティ基本法の前には、通称IT基本法と呼ばれる「高度情報通信ネットワーク社会形成基本法」という法律が2001年に施行され、定められていました。2005年には内閣官房により「情報セキュリティセンター」が設置されました。
しかし、その後も大企業や官庁を標的にしたサイバー攻撃は後を絶たず、被害件数や規模の拡大は止まりませんでした。サイバー攻撃が巧妙化・高度化したため、国家レベルでのセキュリティ戦略強化が必要となりました。
サイバー攻撃の深刻化
サイバー攻撃の深刻化は、日本国内だけの話ではありません。IPA(独立行政法人情報処理推進機構)によると、2010年前後には、国家の安全保障と危機管理上の課題として、国際規模のサイバー攻撃を意識していたとされています。
2009年には、イランの核開発施設を標的にしたマルウェア「Stuxnet」が発見され、同時期に中東諸国を狙ったマルウェア「Flame」も出現しました。これらの被害報告を受け、国際的な安全保障の課題であるとサイバー攻撃が認識されるようになりました。
東京オリンピック開催
サイバーセキュリティ基本法の制定には、東京オリンピック(2020年)の開催決定も影響しています。2008年開催の北京オリンピックでは、大会開催中に1日に約1,400万回のサイバー攻撃が仕掛けられたと言われています。2012年開催のロンドンオリンピックでは、大会開催期間中に1億6千万回のセキュリティ障害が発生し、100件近いサイバー攻撃が仕掛けられたと言われています。
これらを受けて、2020年の東京オリンピックに向けて、日本政府はサイバー攻撃の対策を強化する必要がありました。
サイバーセキュリティ基本法の内容
ここまで、サイバーセキュリティ基本法の目的や制定された背景を説明しました。それでは同法の具体的な内容はどのようなものなのでしょうか。
サイバーセキュリティ基本法の内容は、次の通りです。
基本的施策
サイバーセキュリティ基本法の基本的施策では、国が主導的な役割を果たし、幅広い施策を講じることが定められています。
人材確保や官民連携体制の構築、相談窓口の設置など、サイバーセキュリティ対策に関する総合的な取り組みが盛り込まれています。特に、内閣サイバーセキュリティセンター(NISC)とサイバーセキュリティ戦略本部が中心的役割を担うこととされています。
サイバーセキュリティ戦略
サイバーセキュリティ基本法では、サイバーセキュリティ戦略を第十二条の第二項において、次のように定めています。
2 サイバーセキュリティ戦略は、次に掲げる事項について定めるものとする。
一 サイバーセキュリティに関する施策についての基本的な方針
二 国の行政機関等におけるサイバーセキュリティの確保に関する事項
三 重要社会基盤事業者及びその組織する団体並びに地方公共団体(以下「重要社会基盤事業者等」という。)におけるサイバーセキュリティの確保の促進に関する事項
四 前三号に掲げるもののほか、サイバーセキュリティに関する施策を総合的かつ効果的に推進するために必要な事項
政府は、このようにサイバーセキュリティに関する施策の総合的、効果的な推進のため、サイバーセキュリティ戦略を定めないといけません。
また同じく第十二条の六項では、政府はサイバーセキュリティ戦略の実施に必要な財源の確保に努めるように定めています。
サイバーセキュリティ戦略本部
サイバーセキュリティ基本法の第二十五条、第二十六条では、サイバーセキュリティ戦略本部の設置を定め、本部の事務の内容を規定しています。
サイバーセキュリティ戦略本部の事務内容は次の通りです。
(設置)
第二十五条 サイバーセキュリティに関する施策を総合的かつ効果的に推進するため、内閣に、サイバーセキュリティ戦略本部(以下「本部」という。)を置く。
(所掌事務等)
第二十六条 本部は、次に掲げる事務をつかさどる。
一 サイバーセキュリティ戦略の案の作成及び実施の推進に関すること。
二 国の行政機関、独立行政法人及び指定法人におけるサイバーセキュリティに関する対策の基準の作成及び当該基準に基づく施策の評価(監査を含む。)その他の当該基準に基づく施策の実施の推進に関すること。
三 国の行政機関、独立行政法人又は指定法人で発生したサイバーセキュリティに関する重大な事象に対する施策の評価(原因究明のための調査を含む。)に関すること。
四 サイバーセキュリティに関する事象が発生した場合における国内外の関係者との連絡調整に関すること。
五 前各号に掲げるもののほか、サイバーセキュリティに関する施策で重要なものの企画に関する調査審議、府省横断的な計画、関係行政機関の経費の見積りの方針及び施策の実施に関する指針の作成並びに施策の評価その他の当該施策の実施の推進並びに総合調整に関すること。
サイバーセキュリティ戦略本部は、その為に2015年1月に内閣に設置された組織です。
サイバーセキュリティ基本法の改正とその背景
2014年に施行されたサイバーセキュリティ基本法ですが、その後も個人情報の漏えい事件が相次ぎました。進化の早いネットワーク環境の変化に対応するため、同法は定期的に内容の見直しと改正が実施されています。
改正に至った背景と合わせて解説していきます。
2016年の改正
2016年の改正では、NISC(内閣サイバーセキュリティセンター)の調査可能な対象が拡大され、独立行政法人も含まれるようになりました。本改正の1年前に、日本年金機構で個人情報が流出する事案が発生しました。当時のNISCの調査可能な範囲は中央省庁に限られていた為、十分な調査や対策を実施できませんでした。
また本改正により、NISCの監視や調査の業務量が増加したので、一部業務をIPAへ委託できるように変更されました。
2018年の改正
2018年のサイバーセキュリティ基本法の改正では、官民が連携して対策を行えるように「サイバーセキュリティ協議会」が設立されました。同年の韓国冬季オリンピックの開催時に多数のサイバーテロ攻撃が発生したことで、被害軽減のための対策を各国で求められました。
日本では2020年開催の東京オリンピックが控えていたため、オリンピック開催に備えるための法改正でした。さらに本改正では、日本国内外に関わらず必要各所に迅速に連絡ができるようになりました。
2021年の計画策定
2021年では、今後3年間のサイバーセキュリティに関わる施策目標、実施方針が策定されました。
その主な構成は、以下の通りです。
- 第1部:サイバーセキュリティに関する情勢
- 第2部:我が国のサイバーセキュリティ政策
第1部では、経済社会の継続的な発展、国民が安心安全に暮らせるデジタル社会の実現、サイバー空間における国際的な動向、横断的施策について触れています。第2部ではサイバーセキュリティ政策の基本的な枠組みや戦略に基づく昨年の実績と評価、2021年度に向けての取り組みに言及しています。
このようにして、サイバーセキュリティ基本法では、サイバー空間の国際的な情勢を視野に入れながら、改正と見直しを繰り返してきました。
重要インフラにおけるサイバーセキュリティ対策
重要インフラとは、国民の衣食住に関わる基盤のサービスを指します。2017年に内閣サイバーセキュリティが発表した第4次行動計画では、以下の13分野が重要インフラと定義されています。
- 情報通信
- 金融
- 航空
- 鉄道
- 電力
- ガス
- 政府・行政サービス
- 医療
- 水道
- 物流
- 科学
- クレジット
- 石油
サイバーセキュリティ対策を義務付け
政府は、前述の重要インフラを提供するサービスベンダーには、サイバーセキュリティ対策の実施を義務付けようとしています。さらに2022年には、対策規定がより厳しくなる第4次行動計画改正案が提出されました。国民生活に必要不可欠なインフラが、サイバー攻撃で機能不全に陥れば甚大な影響が生じるためです。
重要インフラのサービスを安定供給するには、事業者による適切なセキュリティ対策が欠かせません。そのため各省庁は、重要インフラ事業者と連携を密にし、対策が徹底されるよう指導・支援していく必要があります。サイバー空間の脅威から国民を守り、安心できる社会基盤を維持することが求められているのです。
背景
重要インフラにおけるサイバーセキュリティ対策が強く求められている背景には、世界的にICTの活用が浸透してきたことが挙げられます。IT技術は人々の生活を豊かにもしますが、マルウェアや不正アクセスなどのサイバー攻撃を受けるリスクも有しています。
サイバー攻撃の被害件数も年々増加傾向にあります。重要インフラを提供するベンダーは、悪意ある第三者からの攻撃で、国民の生活を揺るがすような事態を避けなければなりません。
施策
では、重要インフラのベンダーはどのような施策を実行すべきなのでしょうか。政府は、以下のような対策を自主的に行うことを期待しています。
5. 重要インフラ事業者等の自主的な対策として期待する事項
(1)「安全基準等の整備及び浸透」に関する施策
(2) 「情報共有体制の強化」に関する対策
(3)「障害対応体制の強化」に関する対策
(4) 「リスクマネジメント及び対処態勢の整備」に関する対策
(5) 「防護基盤の強化」に関する対策出典: www.nisc.go.jp
重要インフラを提供するベンダーは、サイバー攻撃に対するあらゆる対策、リスクマネジメントの整備、防護基盤の強化を政府より求められています。着手できるところからで大丈夫なので、徐々に対策強化を進めていくことが大事です。
法人におけるサイバーセキュリティ対策
これまでは、サイバーセキュリティ対策における政府の取り組みなどを紹介してきました。政府だけではなく、法人が取り組めることはないのでしょうか。
ここでは、法人レベルのサイバーセキュリティ対策について具体的に解説します。法人におけるセキュリティ対策は、事業継続性を確保するためにも重要です。
従業員へのサイバーセキュリティ教育
基本的なことではありますが、自社の従業員へのサイバーセキュリティ教育は、組織内のサイバーセキュリティレベルの向上に有効です。従業員一人ひとりのセキュリティリテラシーが上がれば、組織全体のセキュリティレベルも比例して向上し、リスクを軽減できます。
役職者や責任者だけでなく、末端の従業員にも教育プログラムを実施し、マルウェア感染やフィッシング詐欺の脅威について、教育しておきましょう。社員全員でセキュリティ意識を持ち、危機感を持てば、確実にセキュリティリスクを低減できます。
セキュリティ対策ソフトの導入
こちらも基本的な対策ですが、外部からのサイバー攻撃を防ぐには、セキュリティ対策ソフトを導入するのが有効です。アンチウィルスソフトには様々な機能があります。
ウィルスの検知とアラート、不審なデバイスからのアクセス自動制限など、企業が必要とする機能を搭載したソフトウェアを導入しましょう。
パスワード設定・管理の強化
パスワード設定と管理の強化も、基本的ですが、サイバーセキュリティ対策において、重要な対策です。パスワード設定と管理の強化を実施することで、不正アクセスなどのサイバー攻撃を受けにくくなります。
具体的には、パスワード管理者を特定の責任者のみに委任する、多要素認証を取り入れる、などが挙げられます。
OSやソフトウェアを常に最新版へアップデート
OSやソフトウェアを最新版へ常にアップデートすることも忘れずに行いましょう。ついつい後回しになり、疎かになってしまう企業も多いと思います。
OSやソフトウェアのアップデートには、発見されたシステムの脆弱性の改善や新しいサイバー脅威への対応が含まれています。システムの安全性を高めるために、定期的に適用しましょう。自動アップデート機能を有効にすることで、忘れずに実施できます。
経済産業省の「サイバーセキュリティ経営ガイドライン」
政府からのサイバーセキュリティ対策として、経済産業省による「サイバーセキュリティ経営ガイドライン」が発行されています。こちらのガイドラインでは、経営者が認識すべき事項、サイバーセキュリティリスクの管理体制構築、インシデント発生時の緊急対応体制の整備についてなどが記載されています。
ガイドラインを元に従業員教育やセキュリティに関する情報共有を行うことで、組織全体のセキュリティレベル向上を図れます。ぜひ、こちらのガイドラインを自社の従業員へ共有しましょう。
総務省の「テレワークセキュリティガイドライン」
2020年に新型コロナウィルスが蔓延し始めたことから、急速に企業のテレワーク需要が高まりました。その時代背景もあり、総務省からテレワーク環境でのセキュリティガイドラインが発表されました。
ガイドラインには、テレワーク時のセキュリティ対策の紹介や解説、トラブル事例と対処方法を掲載しています。こちらのガイドラインを参考に、企業の役職者だけでなく、従業員が各々サイバーセキュリティ対策を行なっていかなければなりません。
サイバーセキュリティ基本法のまとめ
本記事では、サイバーセキュリティ基本法の基本理念や目的、政府が講じる施策について解説してきました。また、法人におけるセキュリティ対策の具体例も紹介しました。サイバーセキュリティ基本法が示すのは、セキュリティ対策の基本的な考え方であり、実際の対策実施には更なる取り組みが必要です。
サイバーセキュリティ基本法を理解しただけでは、法人や個人がセキュリティ対策を適切に実施することは難しいでしょう。そのため、本記事で紹介した各種ガイドラインなどを参考に、具体的な対策を実践していくことが重要になります。
サイバーセキュリティ基本法の改正や、関連するガイドラインの変更は今後も予想されます。従って、政府の発表に常に注視し、最新の動向を確認しながら、適宜セキュリティ対策を見直していく必要があるでしょう。サイバー空間の脅威に適切に対処するには、常に対策を講じることが肝心です。
コンサルティングのご相談ならクオンツ・コンサルティング
コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。
クオンツ・コンサルティングが選ばれる3つの理由
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス
クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです、
無料で相談可能ですので、まずはお気軽にご相談ください。
関連記事
サイバーセキュリティ
マクロウイルスとは?オフィス製品に感染する仕組みと対策を解説!
マクロウイルスは、ビジネスに不可欠な「マイクロソフトオフィス」製品のマクロ機能を悪用するマルウェアの一種です。ここでは、マクロウイルスの特徴と感染経路や、具体的な種類と被害例、詳しい対策方法について解説します。感染の仕組みを理解して対策を講じましょう。
サイバーセキュリティ
サイバー攻撃とは?攻撃の目的・種類や手口と被害事例から対策を紹介!
サイバー攻撃とは、サーバやパソコンなどの機器に対して不正アクセスや情報窃取、破壊活動などを行う攻撃の総称です。近年はサイバー攻撃が高度化し、どんな組織もサイバー攻撃にあうリスクがあります。本記事では、サイバー攻撃の種類や手口、被害事例について詳しく解説します。
サイバーセキュリティ
VPNのセキュリティは安全?仕組みやメリットとリスクを解説!
本記事ではVPNのセキュリティについて解説しています。安全性と危険性、仕組み、メリット、さらにはリスクまで詳しく説明しています。最後まで読むと、VPNのセキュリティをよく理解できますので、企業のセキュリティ対策に役立ててください。
サイバーセキュリティ
ネットワークセキュリティとは?リスクと取るべき対策まとめ
本記事ではネットワークセキュリティについて解説しています。ネットワークセキュリティのリスクや事例、必要な対策を詳しく説明しています。企業に欠かせないセキュリティ対策がよく理解できますので、最後まで読んで参考にしてください。
サイバーセキュリティ
マルウェア対策とは?感染の脅威と対処法を事例や感染経路とともに解説!
この記事では、マルウェアの定義、脅威、感染経路、予防対策、感染後の対処法について解説しています。マルウェアはウイルス、トロイの木馬、スパイウェアなどを含み、個人情報の盗難やシステム破壊を目的としています。感染経路は多岐にわたり、予防にはソフトウェアの更新、セキュリティソフトの導入、不審なメールの回避などが必要です。感染後はネットワークの遮断とマルウェアの駆除、データの復旧などが重要です。
サイバーセキュリティ
身代金要求型ウイルス(ランサムウェア)の手口とは?データを守るための対策も紹介!
ランサムウェアとは身代金要求型のウイルスのことを指し、世界中で深刻な被害をもたらしています。その攻撃手口も巧妙化しており包括的なセキュリティ対策が求められます。この記事では、身代金要求型不正プログラムといわれるランサムウェアの概要、感染経路、手口や対策を詳しく説明します。
サイバーセキュリティ
ランサムウェアに感染したらどうする?感染経路と予防法や感染後の対処法を解説!
ランサムウェアの基礎知識と感染による被害、感染経路や予防策、感染したら行う対処法と禁止事項を具体的に解説します。ランサムウェアに感染したら被る金銭被害や業務停止、情報漏えいなどのリスクを回避するために必要なセキュリティ対策や教育など役立つ情報を提供します。
サイバーセキュリティ
マルウェアとランサムウェアの違いとは?特徴や感染経路と対策について解説!
ランサムウェアはマルウェアの一種であり、近年、ランサムウェアを含むマルウェアの被害が増加しています。企業や組織をマルウェアから守るためには、その特徴や対策を正しく理解することが重要です。 そこで本記事では、それぞれの違いや特徴、感染経路、対策を解説します。
サイバーセキュリティ
ソーシャルエンジニアリングの手口とは?特徴や対策と被害事例を解説!
ソーシャルエンジニアリングとは、人間の心理的な隙を突くサイバー攻撃です。本記事ではソーシャルエンジニアリングの特徴や手口について解説します。実際に起きた事例も紹介するので、ソーシャルエンジニアリングの対策に役立ててください。
サイバーセキュリティ
ホワイトリストとは?対策の仕組みやセキュリティのメリットを解説!
ホワイトリストとは、安全と評価したWebサイトやIPアドレス等を定義したリストです。ホワイトリストに登録しているアプリケーションや通信のみ実行を許可します。ホワイトリストに登録していないものは全てブロックするため、高いレベルのセキュリティ対策となります。
サイバーセキュリティの人気記事
サイバーセキュリティ
マクロウイルスとは?オフィス製品に感染する仕組みと対策を解説!
サイバーセキュリティ
ランサムウェアの被害事例10選!サイバー攻撃に対する情報セキュリティ対策も解説
サイバーセキュリティ
サイバー攻撃とは?攻撃の目的・種類や手口と被害事例から対策を紹介!
サイバーセキュリティ
ランサムウェアの感染経路まとめ!被害の予防や対策と感染後の対処法を紹介!
サイバーセキュリティ
不正アクセスとは?手口や被害事例7選ととるべき対策7選を解説!
サイバーセキュリティ
マルウェア対策とは?感染の脅威と対処法を事例や感染経路とともに解説!
サイバーセキュリティ
不正アクセスされたらどうする?とるべき対処法と被害に合わないための対策を紹介!
サイバーセキュリティ
マルウェアとウイルスの違いとは?感染経路と対策や感染してるかの見分け方を解説!
サイバーセキュリティ
無害化とは?メール・ファイル無害化の仕組みやメリットとおすすめサービス6選を紹介!
サイバーセキュリティ
脆弱性とは?意味や危険性と発生原因・対策を徹底解説!
人気ランキング
PMO
プロジェクトスコープとは?定義する方法とステップやそのメリットを解説!
PMO
プロジェクト管理における目標とは?設定の方法や具体例を解説!
PMO
プロジェクトが遅延する原因8選!遅れる理由とその防止策・リカバリ方法を解説!
PMO
エクセルでのプロジェクト管理方法!進捗管理用のガントチャートの作り方など紹介!
サイバーセキュリティ
VPNのセキュリティは安全?仕組みやメリットとリスクを解説!
サイバーセキュリティ
不正アクセスされたらどうする?とるべき対処法と被害に合わないための対策を紹介!
PMO
プロジェクト管理の「コスト管理」とは?予算内に収めるための進め方を解説!
PMO
プロジェクト管理に必要な10個の管理項目とは?PMBOKの重要性も解説!
PMO
プロジェクトマネジメントのフレームワークおすすめ7選!選び方やメリットも解説!
PMO