サイバーセキュリティ基本法とは?改正後の変更点・必要なセキュリティ対策
本記事で掲載しているサイバーセキュリティに役立つWAFの資料をこちらからご覧になれます。ぜひツール選定の参考にしてみてください。
目次を閉じる
サイバーセキュリティ基本法とは
「サイバーセキュリティ基本法」とは、サイバー攻撃対策に関する国の責務などを定めた法律で、2015年1月9日より全面施行されています。
これは、サイバーセキュリティに係る国家戦略を策定・推進する司令塔機能の強化や、体制整備に法的根拠を持たせるもので、サイバーセキュリティは国の責務と定義し、国、自治体、重要社会基盤事業者、サイバー関連事業者などが連携して対応する方針が示されています。
サイバーセキュリティ基本法の成立背景
法律の成立以前の情報セキュリティ政策
インターネットの急速な普及などで日本でもIT化が進展する中で、不正アクセスやコンピュータウィルスなど情報セキュリティにかかわる問題への危機感が高まり、2000年に「情報セキュリティ対策推進室」が内閣官房に設置されました。
その後、2005年に情報セキュリティ対策推進室を強化・発展させ、内閣官房に「情報セキュリティセンター(NISC)」が設置されました。
サイバー脅威の高度化・深刻化
サイバー攻撃は以前からも存在していましたが、攻撃内容が高度に進化しており被害の深刻化も問題となっていました。
その高度な進化の内容は以下の3つの通りです。
(1)サイバー脅威の甚大化
標的型メール攻撃など機微情報や技術情報への攻撃の増加や、重要インフラへの攻撃の増加
(2)サイバー脅威の拡散
スマートフォンの普及などに伴うリスクの拡散や、自動車、制御系システムへのリスクの高まり
(3)サイバー脅威のグローバル化
国境を越えたサイバー攻撃の増加や、国家機関の関与が疑われる攻撃の顕在化
国家体制強化の必要性
このようにサイバー空間の重要性が増す一方で、サイバー攻撃の脅威はグローバルに拡大し被害の深刻さが増しています。
しかしながら、サイバーセキュリティ対策に関する国の責務や基本方針を定めた法律がなかったため、国の主導的な役割を明確化する法的根拠が求められていました。
改正サイバーセキュリティ基本法の3つの変更点
サイバーセキュリティ基本法は2015年に成立しましたが、そのすぐ1年後の2016年4月に改正が行われ、2016年10月に施行されました。
改正された背景には、2015年に発生した日本年金機構の情報漏えい問題があります。この事件は、不審なメールによる標的型攻撃によって、125万件もの年金に関する個人情報が流出したというものです。
これを受けてサイバーセキュリティ基本法はどのように変更されたのでしょうか。
変更された点は3つあります。
対象の変更(第13条)
第13条に規定されている、「国が行う不正な通信の監視、監査、原因究明調査など」の対象範囲が拡大されました。
改正前は、監査は中央省庁と独立行政法人に、通信の監視と原因究明調査は中央省庁に限られていました。
この範囲が拡大され、通信の監視、監査、原因究明調査などの対象範囲に、独立行政法人とサイバーセキュリティ戦略本部が指定した特殊法人・認可法人も含まれるようになりました。
委託先の拡大(第30条)
第30条で、サイバーセキュリティ戦略本部の一部事務を、IPA(独立行政法人情報処理推進機構)などに委託されることとなりました。
これは、監視、監査、原因究明調査などの対象拡大による業務量増大に備えるためのものです。
この事務に従事するIPAの職員は「みなし公務員」としての扱いを受け、守秘義務などを課されることになります。
国家資格の創設
これと同じタイミングで情報処理促進法が改正され、国家資格として「情報処理安全確保支援士制度」を創設されました。
「情報処理技術者試験」とは別格の資格で、合格者の登録制や定期的な講習などが実施され、守秘義務違反に対する罰則規定もあります。
登録できるのは、「情報処理安全確保支援士試験」の合格者に加えて、「情報処理技術者試験」の「情報セキュリティスペシャリスト試験」または「テクニカルエンジニア(情報セキュリティ)試験」合格者です。
今しておくべき4つのセキュリティ対策
情報セキュリティにかかるリスクは多岐にわたっているため、セキュリティ対策もさまざまな種類があります。情報セキュリティ担当者や経営者がまず抑えるべきポイントを4つ説明していきます。
ネットワークセキュリティ対策
ネットワークセキュリティとは、安全にネットワークを使うために「防御網」を張り巡らして対策をとるものです。
具体的には、アクセス権を設定して正当な権利を持つ者だけがデータやファイルにアクセスできるようにしたり、ファイアウォールを設置してアクセスできるサービスを限定したりして、ネットワーク環境のセキュリティを管理するものです。
ネットワークセキュリティ対策については以下の記事で詳しく解説しています。
セキュリティホール(ぜい弱性)対策
セキュリティホールとは、コンピュータ上で動作するOSやソフトウェアにおけるプログラムの不具合や設計上のミスなどが原因となったセキュリティ上の欠陥のことです。
これらの不具合や欠陥は、定期的に配信されるセキュリティパッチを適用することで解消されます。インターネット上でも情報が公開されているため、よく起こりうる問題と対策について抑えておきましょう。
セキュリティホール(ぜい弱性)対策については以下の記事で詳しく解説しています。
クラウドセキュリティ対策
クラウドサービスの利用が増加してきていますが、クラウドサービスを導入するにあたってもっとも大きな障壁となるのは、情報漏えいとデータの喪失です。
クラウドサービスにはDropboxなど、とても便利なサービスが充実しているのですが、どうしてもセキュリティに関する不安が付きまといます。
近年はクラウド環境のセキュリティ対策として、WAF(Web Application Firewall)が注目されています。
本記事で掲載しているサイバーセキュリティに役立つWAFの資料はこちらからご覧になれます。ぜひツール選定の参考にしてみてください。
クラウドセキュリティ対策については以下の記事で詳しく紹介しています。
コンピューターウイルス対策
今年話題となった「ランサムウェア」など、コンピューターウイルスにはさまざまな種類があります。
コンピューターウイルスへの対策をとるときは、複数の対策を同時に講じることが必要です。
ウイルス対策ソフトを導入するのはもちろん、ファイアウォールを導入するのもコンピュータウイルス対策を強化するうえで有効な手段となります。
ファイアウォールのサービスを以下の記事で徹底比較しました。ぜひ製品選びの参考にしてみてください。
サイバーセキュリティ対策は先手必勝!
サイバーセキュリティ対策が不完全なままであると、情報漏えい事故などのリスクが高まってしまいます。
情報漏えいなどのセキュリティ事故が一度発生してしまうと、損害賠償などで多額の賠償金を負担しなければならなくなってしまいます。サイバーセキュリティ対策は、先手先手で対策をしていくことがとても重要です。
まずは資料をダウンロードして、自社に必要な情報の収集から対策を始めていきましょう。
本記事で掲載しているサイバーセキュリティに役立つWAFの資料をこちらからご覧になれます。ぜひツール選定の参考にしてみてください。
BOXILとは
BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。
BOXIL会員(無料)になると次の特典が受け取れます。
- BOXIL Magazineの会員限定記事が読み放題!
- 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
- 約800種類のビジネステンプレートが自由に使える!
BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。
BOXIL SaaSへ掲載しませんか?
- リード獲得に強い法人向けSaaS比較・検索サイトNo.1※
- リードの従量課金で、安定的に新規顧客との接点を提供
- 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心
※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査
