サイバーセキュリティ基本法とは?制定の背景や企業に必要な取り組みを解説
サイバーセキュリティ基本法とは、サイバーセキュリティに関する基本理念や基本的な施策を規定した法律のことです。
情報セキュリティに携わる企業担当者のなかには「サイバーセキュリティ基本法について詳しく知りたい」という方も多いでしょう。
そこで本記事では、サイバーセキュリティ基本法の概要や背景、主なサイバー攻撃の例、サイバーセキュリティ対策において企業に求められることなどを解説していきます。
この記事の目次
サイバーセキュリティ基本法とは?
はじめに、サイバーセキュリティ基本法の概要や制定された背景、改正の経緯について解説します。
サイバーセキュリティ基本法の概要
サイバーセキュリティ基本法とは、サイバーセキュリティに関する基本理念や基本的な施策を規定した法律のことです。2014年に総務省によって制定されました。
基本理念として、主に以下のような事項を掲げています。
- サイバーセキュリティ脅威に対して、国や地方公共団体などの各組織が連携・協力しながら対応していくこと。
- 国民1人ひとりが自発的にサイバーセキュリティの理解を深めて被害防止に努めるとともに、被害を受けた際には迅速に復旧できる体制を構築すること。
- インターネットやそのほかIT技術を活用しながら、活力ある経済社会を構築していくこと。
- サイバーセキュリティが国際社会にとって共通の課題であることを認識し、国際的協調のもとで秩序の形成・発展のために先導的な役割を担うこと。
- 国民の権利を不当に侵害しないように留意しながらサイバーセキュリティ施策を推進すること。
サイバーセキュリティ基本法が制定された背景
サイバーセキュリティ基本法は、インターネットの普及やデジタル化に伴い、サイバー攻撃の被害拡大・巧妙化が社会課題となっていることを受けて制定された法律です。
参考までに、従来は2001年に制定された「高度情報通信ネットワーク社会形成基本法」が情報通信技術に関する法律として存在していました。
ただ、高度情報通信ネットワーク社会形成基本法だけでは近年のサイバーセキュリティに対応することが難しく、合わせて活用する形でサイバーセキュリティ基本法が制定されたのです。
サイバーセキュリティ基本法が改正された経緯
サイバーセキュリティ基本法は、2014年の制定以降、以下のような経緯で改正されています。
2016年
2015年に日本年金機構が標的型攻撃を受け、個人情報が漏えいする事件が発生しました。当時の規定では、サイバーセキュリティの調査対象は中央省庁に限定されており、日本年金機構を含む独立行政法人は対象外だったため十分な調査・対策を実施できませんでした。
そこで、独立行政法人などの組織もサイバーセキュリティの調査対象となるよう対象を拡大。また、これまで国が担っていたサイバーセキュリティ業務の一部を情報処理推進機構(IPA)などに委託するとともに、IPAが情報セキュリティ対策に関する国家資格である「情報処理安全確保支援士」が新設されました。
情報処理安全確保支援士の詳細については、以下の関連記事も合わせてご確認ください。
2018年
2018年は韓国・平昌で冬季オリンピックが行われた年であり、オリンピックの開催期間を狙った多くのインターネットテロが発生しました。
そういった状況に対応するため、2020年東京オリンピック・パラリンピックまでにセキュリティ強化を目指し、サイバーセキュリティ基本法の改正が行われたのです。
また、国や企業などの各組織がスムーズに連携しながら情報共有などを行えるよう、2019年にはサイバーセキュリティ協議会が創設されました。
主なサイバー攻撃の例
情報処理推進機構(IPA)の「情報処理安全確保支援士」によると、サイバー攻撃のなかでも「ランサムウェアによる被害」が組織におけるセキュリティ脅威の第1位となっています。
ランサムウェアとは、ファイルを不正にロック・暗号化し、ファイルを元に戻す代わりに身代金などの金銭を要求するマルウェアです。簡単にウイルスと捉えておいて良いでしょう。
個人におけるセキュリティ脅威では、「フィッシングによる個人情報等の詐欺」が第1位となっています。
フィッシング(phishing)とは、魚釣り(fishing)と洗練(sophisticated)の造語とされており、偽の電子メールやWebサイトからクレジットカード番号などの重要な個人情報を盗み出す詐欺行為を指します。
サイバー攻撃の詳細については、以下の関連記事も合わせてご確認ください。
サイバーセキュリティ対策において企業に求められること
サイバーセキュリティ対策として、企業においては以下のような施策が求められます。
- 各種ガイドラインに基づいたサイバーセキュリティ対策の実施
- セキュリティ人材の継続的な育成
各種ガイドラインに基づいたサイバーセキュリティ対策の実施
省庁がサイバーセキュリティ対策に関するガイドラインを制定しているため、基本的にはガイドラインに従って対応を行っていくことが重要です。
たとえば、経済産業省は情報処理推進機構(IPA)とともに「サイバーセキュリティ経営ガイドライン」を制定し、経営者や経営幹部が認識すべき原則や対応事項をまとめています。
また、総務省は「テレワークセキュリティガイドライン」を制定し、テレワークにおいて実施すべきセキュリティ対策を経営者・システム管理者・テレワーク勤務者の各観点から整理しています。
このような省庁のガイドラインを基に、経営者主導で管理者層や現場層にセキュリティルールを落とし込んでいく取り組みが必要となるでしょう。
セキュリティ人材の継続的な育成
セキュリティ人材の育成は、多くの企業にとって継続的な課題と言えます。
たとえば、情報処理推進機構(IPA)が主催する「テレワークセキュリティガイドライン」や「テレワークセキュリティガイドライン」などの取得を奨励し、従業員のセキュリティリテラシーを高める取り組みなどが求められるでしょう。
他にも、定期的なセキュリティ教育の実施や理解度確認テストなどの実施を行うことも効果的です。
まとめ
サイバーセキュリティ基本法とは、サイバーセキュリティに関する基本理念や基本的な施策を規定した法律を指します。
社会のデジタル化に伴ってサイバー攻撃の被害が拡大している背景を受け、2014年に総務省によって制定されました。
企業がサイバーセキュリティ対策を行う際は、省庁がまとめている各種ガイドライン(サイバーセキュリティ経営ガイドラインなど)に基づいた取り組みが重要です。
また、継続的なセキュリティ人材の育成や社内のセキュリティ教育も重要なポイントとなります。
社内のセキュリティリテラシーを高め、セキュリティインシデントを未然に防いでいきましょう。