セールスセンター2023.02.07
今、改めて知っておきたい! サイバーセキュリティ基本法とは?
日々サイバー攻撃は巧妙になり、企業や自治体のみならず政府に対してハッカーから犯行声明が出されるなど、攻撃の勢いは増すばかりです。セキュリティ対策の実施はもはや当たり前のこととなり、攻撃の多様化に合わせた対策も必要となっています。日本国内では、2015年に国として「サイバーセキュリティ基本法」が施行され、2021年には内容が改正されるなど、国家レベルでも社会全体の安全を守るため、行政機関をはじめ教育機関や企業にたいしてサイバーセキュリティに関する一定の基準を設けています。
今回は、とある企業のIT部門に所属するセキュリティに精通した中山部長(44歳)と新人セキュリティ担当の石塚さん(24歳)の会話から、「サイバーセキュリティ基本法」について詳しく学びましょう。
1. サイバーセキュリティ基本法とは?
石塚最近サイバー攻撃のニュースをよく見るようになりました。
中山そうだね。サイバー空間での事件は凶悪化し、近年では戦争にまで及んでいるんだ。
石塚戦争…。恐ろしいですね。サイバー空間で何が起きているのですか?
中山おもなものは企業や国家の機密情報などを盗取する諜報活動だよ。最近では仮想通貨による情報の闇取引、社会インフラを制御するシステムに対する妨害行為なども行われているんだ。
石塚国家レベルでの被害もあるんですね。私たちはどう立ち向かえばよいのですか?
中山国家レベルで対応が必要なリスクといっても過言ではないよね。日本にもちゃんとサイバーセキュリティに関する法律があるんだよ。
石塚え! そうなんですか? 詳しく教えてください!
サイバーセキュリティ基本法の基本理念
「サイバーセキュリティ基本法」は、サイバーセキュリティに関する施策を推進するための基本理念や基礎事項などを規定した法律です。2014年11月に成立し、2015年1月に施行されました。
サイバーセキュリティ基本法は、5つの章と38の条項によって構成されており、以下の項目を施策推進の基本理念としています。
【基本理念 概要】
- 1. 情報を自由にやり取りさせるため、官民が協力して積極的に対応すること
- 2. 国民一人ひとりがサイバーセキュリティに関する認識を深め、自発的な対応をすること、また、被害を防ぎ、被害を迅速に復旧する強靱な体制を構築すること
- 3. 情報通信のネットワーク整備や技術活用による、活力ある経済社会を構築するための取り組みを積極的に推進すること
- 4. 国際的な秩序の形成及び発展のために先導的な役割を担い、国際的協調の下に行われること
- 5. デジタル社会形成基本法の基本理念に配慮すること
- 6. 国民の権利を不当に侵害しないよう留意すること
石塚サイバーセキュリティ基本法っていろいろ明確に定められているのですね!
中山そうなんだ。ところで石塚さん、サイバーセキュリティ基本法の対象範囲はどこまでかわかるかな?
石塚最近の脅威状況を考えると、やはり国防関連が中心でしょうか?
中山サイバーセキュリティ基本法の対象は、行政機関のみならず、電気、ガス、水道のようなインフラ関連事業者、教育研究機関、民間企業など幅広く含まれているんだ。セキュリティ対策に関して、企業が果たす役割や人材の教育などについても触れているんだよ。
サイバーセキュリティ基本法が制定された背景
サイバーセキュリティ基本法が定められる以前より、日本ではセキュリティに関連する取り組みが実施されてきました。
IT基本法と呼ばれる「高度情報通信ネットワーク社会形成基本法」が定められており、内閣官房による「情報セキュリティセンター」という組織により運用されていたのです。
しかし企業や政府を狙ったサイバー攻撃が年々増加し、被害の規模も大きくなっていることから、国家単位でサイバーセキュリティ戦略の策定が求められるようになりました。
このような背景から、2014年にサイバーセキュリティ基本法が議員立法により可決・成立されたのです。
中山実は「高度情報通信ネットワーク社会形成基本法」などのセキュリティに関連する法律は、以前からあったんだよ。でも、サイバー攻撃は年々増加して被害も深刻化していったんだ。(以下の参考資料参照)
各国が国家的なIT戦略を打ち出すなか、日本も「サイバーセキュリティ基本法」を定めて、時代に合わせて法案を改正しながら今に至っているというわけだよ。
サイバーセキュリティ基本法の概要 2. サイバーセキュリティ基本法の改正
石塚サイバーセキュリティの基本理念を整理した法律は以前から存在していたのですね!
中山そうなんだ。サイバーセキュリティ基本法として制定される前から、関連法案は存在し、時代に合わせて整備されているよ。
石塚でも、ここ数年で働き方やライフスタイルが大きく変化していますよね? ここ最近ではどのような見直しがされているのですか?
中山サイバーセキュリティ基本法も過去に2度の改正が行われているよ。
2016年の法改正
2015年、日本年金機構において多数の個人情報が漏えいする事件が発生しました。しかし、当時の NISC(内閣サイバーセキュリティセンター)が調査できる範囲は中央省庁に限定されていたのです。そのため、2016年の法改正により、国が実施する監視や調査などの対象範囲が拡大され、日本年金機構のような独立行政法人や特殊法人も対象となりました。
また、対象範囲の拡大で業務量が増加したことから、一部の業務を IPA(独立行政法人情報処理推進機構)などに委託できるようになりました。
さらに人材強化の施策として、情報セキュリティ対策における実践的な能力を持つ国家資格「情報処理安全確保支援士」が新設されました。
2018年の法改正
2018年韓国冬季オリンピック開催時にサイバーテロが多数発生したように、オリンピックなどの国際的なイベントの開催時はサイバー攻撃が増加する傾向にあります。そのため、日本でも東京2020オリンピック・パラリンピックの開催に備え、官民が連携してセキュリティ対策を講じられるよう改正が行われ「サイバーセキュリティ協議会」が組織されました。
2021年の計画策定
2021年9月に、今後3年間のサイバーセキュリティに係る諸施策の目標や実施方針を示す同戦略案が決定されました。
中山このように情勢を注視しながら改正を繰り返してきたんだ。民間企業との情報交換を活発に行うことで、ここ数年の大きな変化にも対応しているよ。
3. 企業がとるべきサイバーセキュリティ対策とは
石塚国としても力を入れて取り組んでいるのですね!
中山そうだね。これからも情勢次第では改正される可能性があるよ。
石塚国としてだけでなく、企業レベルでもできることはないのでしょうか?
中山たしかに法律を決めるだけではダメだよね。私たちが実際に行動することが重要で、法律はその行動を推進するための心強いルールといえるね。
石塚私たちの生活に関わりますからね! ぜひ、私たちができることを教えてください!
企業がとるべきセキュリティ対策について、参考となる資料を2点見ていきましょう。
経済産業省による「サイバーセキュリティ経営ガイドライン」
経済産業省はIPAと共に、セキュリティ対策における企業の取り組み「サイバーセキュリティ経営ガイドライン」を公表しています。経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するためのガイドラインです。
サイバーセキュリティ経営ガイドラインの概要出典:「サイバーセキュリティ経営ガイドラインと支援ツール」(経済産業省)
https://www.meti.go.jp/policy/netsecurity/mng_guide.html
総務省による「テレワークセキュリティガイドライン」
2020年以降、急速にテレワークが普及したこともあり、総務省よりテレワーク環境におけるセキュリティ情報などをまとめた「テレワークセキュリティガイドライン」が発表されています。
中山それぞれのガイドラインを参考に、企業の経営層や情報システム担当者だけでなく、社員一人ひとりがセキュリティ対策を実施していく必要があるんだよ。
4. まとめ
サイバーセキュリティ基本法は、国が主導するセキュリティ対策を推進するため基本理念を中心にまとめた法律です。これまで、サイバーセキュリティに関する情勢や関連施策の実施状況に合わせて改正されてきました。
企業としても日々巧妙化するサイバー攻撃に対応するために、積極的かつ自主的なセキュリティ対策に取り組み、こうした国レベルでの取り組みを参考に対策をアップデートしていくことが求められています。
安心と安全を提供する Symantec
-
セールスセンター2023.01.25WPA3とは? メリットと利用するうえでの注意点を徹底解説