サイバーセキュリティ基本法とは？改正後の変更点・必要なセキュリティ対策

本記事で掲載しているサイバーセキュリティに役立つWAFの資料をこちらからご覧になれます。ぜひツール選定の参考にしてみてください。

サイバーセキュリティ基本法の概要

インターネットやIT技術の普及に伴い、個人や企業を標的としたサイバー攻撃が深刻化しています。こうした状況を背景に、国全体でサイバーセキュリティを強化するために制定されたのが「サイバーセキュリティ基本法」です。

この法律は、国・地方自治体・民間企業が連携してセキュリティ対策を進めるための基盤として位置づけられています。

法律の目的

サイバーセキュリティ基本法の目的は、サイバー攻撃の脅威から国民の安全や経済活動を守ることにあります。

基本理念や国の責務を明確にし、各主体が協力しながら施策を推進する枠組みを整備することで、安心してデジタル社会を利用できる環境の整備を図っています。加えて、国際的なサイバー脅威にも対応できる体制構築が盛り込まれています。

対象となる組織や個人

この法律の対象は、国の行政機関や地方公共団体、電気・ガス・交通などの重要インフラを担う事業者、さらに一般企業や国民も含まれます。

とくに政府関連機関やインフラ事業者に対しては、具体的なセキュリティ対策の実施が求められています。また、国民にもサイバーセキュリティに対する理解と協力が求められる点が特徴です。

他の法制度との関係

サイバーセキュリティ基本法は、個人情報保護法や不正アクセス禁止法といった他の関連法令と連携しながら運用されています。

また、2021年に成立した「デジタル社会形成基本法」との整合性も意識されており、法体系全体としてサイバー空間の安全を確保する仕組みが整えられています。

これにより、政府や企業だけでなく、社会全体としてセキュリティ意識を高める環境が整いつつあります。

サイバーセキュリティ基本法の基本理念と4つの柱

サイバーセキュリティ基本法では、サイバー空間の安全を確保しながら、情報の自由な流通を妨げないことを前提とし、国民の理解と協力を促進し、経済社会の活力向上や国際的な協調を図る理念が掲げられています。

これは、デジタル社会にふさわしい、信頼性の高い環境づくりを目指す国の基本方針とされています。

情報流通と積極的対応

情報の自由な流通を妨げないよう配慮しつつ、国・地方公共団体・重要な社会基盤（インフラ）事業者が連携して積極的に対応する。

国民の意識向上

国民一人ひとりがサイバーセキュリティに関する認識を深め、自発的に対応することを促進する。また、サイバー攻撃の脅威による被害を防ぎ、被害から迅速に復旧するための強靭な体制構築を推進する。

経済社会の活力強化

高度情報通信ネットワークの整備や情報通信技術の活用により、活力ある経済社会を構築するための取り組みを積極的に推進する。

国際協調と先導的役割

サイバーセキュリティに関する国際的な秩序の形成および発展のために先導的な役割を担い、国際的な協調の下で施策を実施する。

サイバーセキュリティ基本法制定の背景と経緯

サイバー空間が社会の基盤として浸透するなかで、国民生活や経済活動を脅かすサイバー攻撃が深刻化しています。こうした状況に対応するため、サイバーセキュリティに関する法制度の整備が急務となり、「サイバーセキュリティ基本法」が制定されました。

法律の成立には、過去の政策的取り組みや脅威の変化といった背景があります。

制定以前の情報セキュリティ政策

1990年代後半からITの利活用が急速に広がり、不正アクセスやコンピュータウイルスといったリスクが社会問題となり始めました。

こうした状況を受け、2000年に内閣官房に「情報セキュリティ対策推進室」が設置され、政府としての初期的な対応が始まりました。

その後、2005年にはこの体制を強化するかたちで「情報セキュリティセンター（NISC）」が設立され、政府全体のセキュリティ戦略を統括する機関として機能しました。

さらに、2015年の法律施行にあわせて「内閣サイバーセキュリティセンター」へと改組され、現在に至ります。

高度化するサイバー脅威

当初のサイバー攻撃は個人や企業への迷惑行為が中心でしたが、次第に国家機関や重要インフラを狙った組織的かつ巧妙な攻撃が増加し、被害の規模や影響も拡大しました。とくに次の3点が問題視されました。

甚大化

標的型攻撃による情報流出や、電力・交通など社会インフラへの攻撃の増加

拡散

スマートフォンやIoT機器の普及に伴い、攻撃対象や被害経路が広範に拡大

グローバル化

国家レベルの関与が疑われる攻撃が国境を越えて頻発するようになった

このようにサイバー脅威の性質は複雑化し、国内外の連携と包括的な対策が求められるようになりました。

法制度整備の必要性

急速に進化するサイバー攻撃に対して、従来のガイドラインや運用ベースの対応では限界が生じていました。国家としての方針や責務を法的に明確にし、民間・地方自治体・国際機関との連携体制を強化する必要性が高まりました。

その結果、サイバーセキュリティを国家戦略として位置づけ、全体的な施策推進を支える法的な枠組みとして、サイバーセキュリティ基本法が2014年に制定されました。

サイバーセキュリティ基本法の主な改正内容と年表

サイバーセキュリティ基本法は、制定から現在にかけて複数回の改正が行われてきました。

各改正は、時代ごとの脅威や技術の進化に対応し、より実効性の高いセキュリティ体制を構築することを目的としています。

政府機関だけでなく、民間企業や国民にも影響する内容が盛り込まれており、改正の流れを知ることは、実務的な対策や今後の動向を読み解くうえで重要です。

2016年の改正（対象拡大・委託先）

2016年の改正では、サイバーセキュリティ対策の対象を拡大することが主な目的とされました。従来は主に国の行政機関が中心でしたが、改正後は地方公共団体や独立行政法人、特定の民間団体にも基本法の枠組みが及ぶようになりました。

また、業務委託に関する規定も整備され、情報システムの運用を外部に委託する際のセキュリティ管理について、委託先にも一定の責任が求められるようになりました。

2018年の改正（協議会設置・罰則規定）

2018年の改正では、「サイバーセキュリティ協議会」の設置が大きなトピックとなりました。これは、官民の連携を強化するための常設的な枠組みであり、情報共有や対応方針のすり合わせを行う場として機能しています。

さらに、サイバーセキュリティに関する義務違反に対する罰則規定が新設され、法の実効性が高められました。これにより、対応を怠った組織に対する法的責任が明確化されるようになりました。

2022年の改正（新設項目）

2022年の改正では、国際情勢の変化やサイバー攻撃の巧妙化を背景に、より高度な防御体制が求められるようになりました。これを受けて、政府は「能動的サイバー防御」という新たな概念を導入し、法制度上の基盤を整備しました。

また、NISC（内閣サイバーセキュリティセンター）の役割が拡張され、国際連携や重要インフラ防護に関する権限が強化されています。

能動的サイバー防御とは

サイバーセキュリティ基本法の理念をもとに、サイバー攻撃の洗練化・巧妙化の進展に対してサイバー安全保障の強化を図るための考え方が、能動的サイバー防御です。

能動的サイバー防御（アクティブ・サイバー・ディフェンス）とは、従来の受動的な防御策とは異なり、サイバー攻撃を事前に予測し、積極的に防御策を講じるアプローチです。

能動的サイバー防御では、平時から通信を監視し、重要インフラへの攻撃の兆候を探り、兆候があった段階で相手のシステムに入って無害化を図ります。

日本政府は、サイバー安全保障分野での対応能力を欧米主要国並みに向上させるため、能動的サイバー防御の実施に向けた法案を早期に取りまとめていく必要があるとしています。

サイバーセキュリティ基本法に準じる項目

「サイバー安全保障を確保するための能動的サイバー防御等に係る態勢の整備の推進に関する法律案」では、サイバーセキュリティ基本法に準じる次の項目を定めています。

能動的サイバー防御にあたっては、サイバーセキュリティ基本法第23条にある、広報活動を通じて国民の理解と関心を深めることにとくに留意する。

サイバーセキュリティ基本法第24条の、国際的な規範の策定への参画や国際協力を推進することで、能動的サイバー防御に関して諸外国の理解を深めることにとくに留意する。

今しておくべき4つのセキュリティ対策

情報セキュリティにかかるリスクは多岐にわたっているため、セキュリティ対策もさまざまな種類があります。情報セキュリティ担当者や経営者がまず抑えるべきポイントを4つ説明していきます。

ネットワークセキュリティ対策

ネットワークセキュリティとは、ネットワークを安全に利用するために、外部や内部からの不正なアクセスや脅威を防ぎ、情報やシステムを保護するためのセキュリティ対策です。

具体的には、アクセス制御を行い、正当な権限を持つユーザーだけがデータやファイルにアクセスできるように設定するほか、ファイアウォールを導入して許可されたサービスや通信のみを通過させるように制限します。

さらに現在では、社内外を問わずすべてのアクセスを制御する「ゼロトラストネットワークアクセス（ZTNA）」の考え方が推奨されています。

また、ネットワーク上のセキュリティリスクを管理するために、不正侵入検知システム（IDS）や不正侵入防御システム（IPS）を活用することも重要です。これにより、ネットワーク環境を安全に保ち、情報漏えいや攻撃のリスクを最小限に抑制可能です。

ネットワークセキュリティ対策については、次の記事で詳しく解説しています。

セキュリティホール（ぜい弱性）対策

セキュリティホールとは、OSやソフトウェアにおけるプログラムの不具合や設計上のミスが原因となった、セキュリティ上の欠陥のことです。

これらの不具合や欠陥は、定期的に配信されるセキュリティパッチを適用することで解消されます。インターネット上でも情報が公開されているため、よく起こりうる問題と対策について押さえておきましょう。

セキュリティホール（ぜい弱性）対策については、次の記事で詳しく解説しています。

クラウドセキュリティ対策

クラウドサービスの利用が増加してきていますが、クラウドサービスを導入するにあたってもっとも大きな障壁となるのは、情報漏えいとデータの喪失です。

クラウドサービスには非常に便利なサービスが充実していますが、どうしてもセキュリティに関する不安が付きまとう方も少なくないかもしれません。

近年はクラウド環境のセキュリティ対策として、WAF（Web Application Firewall）が注目されています。

本記事で掲載しているサイバーセキュリティに役立つWAFの資料はこちらからご覧になれます。ぜひツール選定の参考にしてみてください。

クラウドセキュリティ対策については、次の記事で詳しく紹介しています。

マルウェア対策

近年話題となった「ランサムウェア」をはじめ、マルウェアやコンピューターウイルスにはさまざまな種類があります。

マルウェアへの対策をとるときは、複数の対策を同時に講じることが必要です。

マルウェア対策ソフトを導入するのはもちろん、ファイアウォールを導入するのもマルウェア対策を強化するうえで有効な手段となります。

ファイアウォールのサービスを次の記事で徹底比較しました。ぜひ製品選びの参考にしてみてください。

サイバーセキュリティ基本法の背景を知って対策をはじめよう！

サイバーセキュリティ基本法は、情報社会の発展に伴い急速に拡大するサイバー攻撃への対応を目的として制定され、その後の改正を通じて新たな脅威に柔軟に対応してきました。

この法律は、政府・地方自治体・民間企業・国民が連携して安全な社会を築くための土台となります。

サイバーセキュリティ基本法は改正を重ねるなかで、重要インフラの保護や専門人材の育成、国際協力の強化など、実効的な施策が進められてきました。

サイバーセキュリティ協議会の創設やIPAとの協業など具体的な内容が盛り込まれ、全体的なセキュリティ水準が向上しました。現在では、サイバー安全保障分野での対応能力を向上させるために、能動的サイバー防御のアプローチが検討されています。

今後も、技術の進展とともにサイバー攻撃の洗練化・巧妙化による、新たなリスクが生じることが予想されます。企業は、より強固なサイバーセキュリティ体制の構築のために、必要な情報の収集から対策をはじめていきましょう。

本記事で掲載しているサイバーセキュリティに役立つWAFの資料をこちらからご覧になれます。ぜひツール選定の参考にしてみてください。

BOXILとは

BOXIL（ボクシル）は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員（無料）になると次の特典が受け取れます。

• BOXIL Magazineの会員限定記事が読み放題！
• 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる！
• 約800種類のビジネステンプレートが自由に使える！

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaSへ掲載しませんか？

• リード獲得に強い法人向けSaaS比較・検索サイトNo.1^※
• リードの従量課金で、安定的に新規顧客との接点を提供
• 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心

^{※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査}