2022-01-31 18:15:42

民間企業にも求められるサイバーセキュリティ基本法の理解

日本は、相次ぐサイバー攻撃の被害に対して国を挙げて取り組んでいます。
特に情報セキュリティ関連の法律に関しては、民間企業の方も知っておくべきでしょう。

こちらでは、民間企業の方にも知っておいていただきたいサイバーセキュリティ基本法についてお話しします。

サイバーセキュリティ基本法について動画解説！

サイバーセキュリティ基本法とは

サイバーセキュリティ基本法は2014年に制定され、2015年から施行されている日本の法律です。
サイバーセキュリティ戦略や基本理念についてまとめられています。
国内のセキュリティ対策けん引を担う内閣サイバーセキュリティセンター（NISC）の活動、および他の法律の制定において基盤になっている法律です。

制定された背景

日本では2001年に高度情報通信ネットワーク社会形成基本法（IT基本法）が制定されており、セキュリティをはじめとしたIT活用におけるルールや仕組みの規範として機能していました。
セキュリティの取り組みに関しては、2005年に内閣サイバーセキュリティセンターの前身である情報セキュリティーセンターが設置されています。

しかし、その後も民間企業や政府機関でのサイバーインシデントの発生が相次ぎます。
大規模化・複雑化するサイバー攻撃を重く受け止めた政府は情報セキュリティ基本計画やサイバーセキュリティ戦略など、次々と取り組みを実施しました。
こうした前段階を経て誕生したのが、サイバーセキュリティ基本法
です。

改正の歴史

サイバー攻撃の手口は日々複雑化・多様化しています。
サイバーセキュリティ基本法はこうしたサイバー攻撃の変化に合わせて改正が加えられてきました。
以下では、2016年と2018年の改正について解説します。

2016年改正の内容

2015年に日本年金機構を対象とした標的型攻撃事件が発生しました。
この事件により、同機構が保有していた多数の個人情報が流出しています。

当時のNISCは調査可能な対象が中央省庁に限定されており、日本年金機構のような独立行政法人への調査は実施できませんでした。
そのため適切な監査ができず、情報漏えいをさらに拡大させる事態につながってしまいます。

このことを受け、2016年に監視・調査の範囲を拡大する改正が行われました。
改正後は特殊法人や独立行政法人への調査も可能になっています。
また、これによる業務量増加に伴い、一部事務業務を情報処理推進機構（IPA）へ委託できるようにしています。

2018年改正の内容

2018の改正は、開催が決定していた東京オリンピック・パラリンピックを見越して実施されました。
リオデジャネイロオリンピック、ロンドンオリンピック、そして2018年の平昌オリンピックでは数多くのサイバー攻撃・インターネットテロが発生しました。
それぞれの被害の大きさから、警戒を強める必要があったのです。

具体的には、セキュリティ体制の強化に向けて官民の連携が取りやすいように改正が行われています。
官民の代表が情報共有を行い、柔軟な対策を協議するサイバーセキュリティ協議会が発足しました。
また、国内外の関係者がスムーズに連絡をとりあえるように、事務事項の取り決めも行われています。

内容

サイバーセキュリティ基本法は、4つの章、33の条項によって構成されています。
各章の内容は以下のとおりです。

第一章　総則
第二章　サイバーセキュリティ戦略
第三章　基本的施策
第四章　サイバーセキュリティ戦略本部

基本理念

第一章の第3条には、サイバーセキュリティ基本法の基本理念が示されています。
要約すると以下のとおりです。

1. 情報を自由にやり取りさせるため、官民が協力して対応する
2. 国民のサイバーセキュリティに関する理解を深めるための体制を構築する
3. 高速で安定した通信ネットワークを整備し、さらにITを積極活用することで活力にあふれる経済社会を目指す
4. 国際的な視点で協調を保ちながらサイバーセキュリティの秩序形成を牽引する
5. 国民の権利が不当に侵害されないように留意する

サイバーセキュリティ基本法に基づき設置された組織

サイバーセキュリティ基本法に関連して、以下のような組織が設置されています。

サイバーセキュリティ戦略本部

サイバーセキュリティ戦略本部は、内閣官房長官を本部長として発足した政府機関の組織です。

サイバーセキュリティ基本法の施行と同時に、それまでの情報セキュリティ政策会議を改組する形で誕生しました。
サイバーセキュリティ戦略の立案・実施、対策の基準作成や評価、政府機関などで起こるセキュリティ関連事案などの評価を担当します。
各府省から資料などを集め、必要に応じて勧告を行うのも役割のひとつです。

内閣サイバーセキュリティセンター（NISC）

内閣サイバーセキュリティセンター（NISC）は、サイバーセキュリティ基本法の成立、サイバーセキュリティ戦略本部と同時に内閣官房で設置された組織です。

それまでの情報セキュリティーセンターを改組し、情報セキュリティ政策会議が担当していた機能を引き継いでいます。
サイバー攻撃の事案を分析し、国民に対して守るべきセキュリティガイドラインを発表しています。
セキュリティの重要性や対策を啓蒙するイベントも積極的に行っています。

サイバーセキュリティ協議会

2018年のサイバーセキュリティ基本法の改正によって設置された組織です。

公共の団体・組織、社会基盤に関連した民間企業、セキュリティ関連事業者、教育機関などの代表者で構成されています。
官民の枠組みを超え、サイバーセキュリティに関する情報を少しでも早く共有することを目的とした組織です。

事業者はどんなサイバーセキュリティに取り組むべきか

サイバーセキュリティ基本法の第7条では、自主的にサイバーセキュリティの確保に努めることが必要であると明記されています。
民間事業者はどのような取り組みを行うべきなのでしょうか。

能動的・かつ事前の取り組み

今は、あらゆる企業がIT、通信の活用によって業務効率化、競争力の強化、顧客ニーズへの対応の迅速化といった恩恵を受けています。
こうしたメリットの背景にあるのは、多くの情報を高速で処理できるようになったことです。
一方で、どんな企業でも重要な情報を保持しており、情報漏えいや破損によって大きな打撃を受ける可能性があるといえます。

まず、サイバーセキュリティの意識はどの企業であっても求められます。
また、その意識の必要性は情報管理担当者だけに求められるものではありません。
経営層まで浸透させ事前の取り組みを行う予算を確保すること、またセキュリティに関する教育を社員に行い、末端まで隙のない体制をつくることが不可欠です。

国・地方公共団体への協力

サイバーセキュリティ基本法制定の目的のひとつが、国内のセキュリティ対策の標準化です。
かつて中央省庁で起きたサイバー事件では、セキュリティ対策の水準が企業によってばらつきがある点が問題視されました。
この問題を解決するため、企業は国・地方公共団体が定めるセキュリティ方針や水準に協力していく必要があります。

サイバーセキュリティ対策を行わないリスク

サイバーセキュリティ対策を実施せずに放置した場合、どんなリスクが考えられるのでしょうか。
以下では、実際にサイバー攻撃によって起きた事件をご紹介します。

マルウェア感染による情報漏えい

マルウェアとは、ウイルス、スパイウェア、ワームといった不正プログラムの総称です。
マルウェア感染によるリスクとして、機密情報の流出が挙げられます。
顧客の個人情報などが流出した場合、企業としての社会的な信用を大きく損ねます。

代表的な感染経路がメールです。取引先や利用しているサービス提供者を装っているメールも多く、注意していなければ感染してしまうケースが少なくありません。

不正アクセス

マルウェアの一種であるランサムウェアによって不正アクセスを受けるケースが国内外で相次いでいます。
ランサムウェアの特徴は、不正に取得した情報との交換条件で身代金を要求する点です。
対応に苦慮し、実際に身代金を支払ったケースもあります。また、身代金を支払わなければ機密情報を世に公開すると脅す「二重脅迫」の手口も問題視されています。

フィッシング詐欺

フィッシング詐欺とは、偽のサイトへユーザーを誘導し、クレジットカード番号やパスワードなど決済に関係した情報を不正に取得する手口のことです。
サイバー攻撃では古典的な手口ですが、近年は少しずつ巧妙になってきています。
注意深く見なければ本物としか思えないような偽サイトが増えているため、ユーザーには慎重さが求められます。

近年重要視されているテレワークでのセキュリティ確保

2020年以降、サイバーセキュリティ対策において多くの企業でハードルになっているのがテレワークでの通信セキュリティです。
新型コロナウイルスの感染拡大回避のため、多くの企業がテレワークを導入しました。
それまで当たり前になっていた通勤の必要性を見直し、働き方を最適化できる点も注目されています。

一方で、オフィスというクローズドな環境を想定していたセキュリティ対策について再度検討しなければならなくなり、苦慮している企業が多いようです。
サイバーセキュリティ戦略本部でもこの問題は重く受け止めています。
テレワークでのセキュリティ情報などをまとめた「テレワークセキュリティガイドライン」を発表しているため、ぜひ参考にしてください。

その他の情報セキュリティ関連の法律

サイバーセキュリティ基本法以外のセキュリティ関連法律をご紹介します。

高度情報通信ネットワーク社会形成基本法（IT基本法）

高度な通信ネットワークを形成する上で、国や地方公共団体が負うべき責務を明確に示した法律です。
2001年に制定され、長らく日本のIT施策の基盤となってきましたが、2021年9月1日をもって廃止となりました。
代わりに、デジタル社会形成基本法が同じタイミングで施行されています。

電子署名認証法

近年一般的になっている電子取引ですが、その有効性や安全性を担保しているのが電子署名および認証業務に関する法律、電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律（公的個人認証法）です。
前者は民間の商取引、後者は行政手続きにおいて、電子署名や押印の有効性・準拠すべきルールなどについてまとめられています。

＊＊＊

サイバーセキュリティ基本法はサイバー攻撃の変化に応じて改正が加えられています。
いずれも、我々の安全な情報流通を守るための改正ですので、内容を抑えておきましょう。

堅牢なセキュリティを維持するためには、セキュリティ対策ソフトウェアが不可欠です。スターティアでは、
ウイルス・スパイウェア対策ソフトを提供しています。

また、セキュリティ関連のご相談についても対応していますので、お気軽にお問い合わせください。

セキュリティ対策も安心！
スターティアのリモートワーク構築・保守サービスについては