サイバーセキュリティ基本法とは？改正後の変更点・必要なセキュリティ対策

本記事で掲載しているサイバーセキュリティに役立つWAFの資料をこちらからご覧になれます。ぜひツール選定の参考にしてみてください。

サイバーセキュリティ基本法とは

サイバーセキュリティ基本法とは、サイバーセキュリティに関する施策を総合的かつ効率的に推進するための基本理念や戦略を定めた法律です。2014年に成立し、2015年1月から施行されています。

サイバーセキュリティ基本法の目的は、サイバーセキュリティに関する施策を推進するための基本理念を定め、国や地方公共団体・重要社会基盤事業者が主体的に連携し、サイバーセキュリティ対策を行うことです。経済社会の活力向上や国民の安全な生活の実現を目指し、国際的な脅威への対応も含まれています。

サイバーセキュリティ基本法の基本理念

サイバーセキュリティ基本法の基本理念は、次のとおりです。

※参照：e-Gov 法令検索「サイバーセキュリティ基本法」（2024年12月18日閲覧）

情報の自由な流通の確保と積極的な対応

情報の自由な流通を妨げないよう配慮しつつ、国・地方公共団体・重要な社会基盤（インフラ）事業者が連携して積極的に対応する。

国民の認識向上と自発的対応の促進

国民一人ひとりがサイバーセキュリティに関する認識を深め、自発的に対応することを促進する。また、サイバー攻撃の脅威による被害を防ぎ、被害から迅速に復旧するための強靭な体制構築を推進する。

活力ある経済社会の構築

高度情報通信ネットワークの整備や情報通信技術の活用により、活力ある経済社会を構築するための取り組みを積極的に推進する。

国際的な協調と先導的役割

サイバーセキュリティに関する国際的な秩序の形成および発展のために先導的な役割を担い、国際的な協調の下で施策を実施する。

デジタル社会形成基本法との整合性

サイバーセキュリティに関する施策の推進は、デジタル社会形成基本法の基本理念に配慮して施策を実施する。

国民の権利尊重

サイバーセキュリティに関する施策の推進にあたっては、国民の権利を不当に侵害しないよう留意する。

サイバーセキュリティ基本法の成立背景

法律の成立以前の情報セキュリティ政策

インターネットの急速な普及により日本でもIT化が進展する中で、不正アクセスやコンピュータウィルスなど情報セキュリティにかかわる問題への危機感が高まり、2000年に「情報セキュリティ対策推進室」が内閣官房に設置されました。

その後、2005年に情報セキュリティ対策推進室を強化・発展させ、内閣官房に「情報セキュリティセンター（NISC）」が設置されました。（2015年1月のサイバーセキュリティ基本法の施行に伴い「内閣サイバーセキュリティセンター」略称NISCに改組。）

サイバー脅威の高度化・深刻化

サイバー攻撃は以前からも存在していましたが、攻撃内容が高度に進化しており被害の深刻化も問題となっていました。

その高度な進化の内容は次の3つのとおりです。

（1）サイバー脅威の甚大化
標的型メール攻撃のような機微情報や技術情報への攻撃の増加や、重要インフラへの攻撃の増加

（2）サイバー脅威の拡散
スマートフォンの普及に伴うリスクの拡散や、自動車、制御系システムへのリスクの高まり

（3）サイバー脅威のグローバル化
国境を越えたサイバー攻撃の増加や、国家機関の関与が疑われる攻撃の顕在化

国家体制強化の必要性

このようにサイバー空間の重要性が増す一方で、サイバー攻撃の脅威はグローバルに拡大し被害の深刻さが増しています。

しかしながら、サイバーセキュリティ対策に関する国の責務や基本方針を定めた法律がなかったため、国の主導的な役割を明確化する法的根拠が求められていました。

サイバーセキュリティ基本法の改正内容

2016年の改正

サイバーセキュリティ基本法は2014年に成立しましたが、その後2016年4月に改正が行われ、2016年10月に施行されました。

改正された背景には、2015年に発生した日本年金機構の情報漏えい問題があります。この事案は、不審なメールによる標的型攻撃によって、125万件もの年金に関する個人情報が流出したというものです。

サイバーセキュリティ基本法の2016年の改正内容は次のとおりです。

対象の変更（第13条）

第13条に規定されている、「国が行う不正な通信の監視、監査、原因究明調査など」の対象範囲が拡大されました。

改正前は、監査は中央省庁と独立行政法人に、通信の監視と原因究明調査は中央省庁に限定。

この範囲が拡大され、通信の監視・監査・原因究明調査などの対象範囲に、独立行政法人とサイバーセキュリティ戦略本部が指定した特殊法人・認可法人も含まれるようになりました。

委託先の拡大（第30条）

第30条で、サイバーセキュリティ戦略本部の一部事務を、IPA（独立行政法人情報処理推進機構）に委託できるようになりました。

これは、監視・監査・原因究明調査などの対象拡大による業務量増大に備えるための改正です。

この事務に従事するIPAの職員は「みなし公務員」としての扱いを受け、守秘義務を課されます。

国家資格の創設

これと同じタイミングで情報処理促進法が改正され、国家資格として「情報処理安全確保支援士制度」が創設されました。

「情報処理安全確保支援士試験」は「情報処理技術者試験」とは別の資格で、合格者の登録制や定期的な講習などが実施され、守秘義務違反に対する罰則規定もあります。

この制度は、サイバーセキュリティ分野における専門人材の育成と確保を目的としており、政府機関や企業のセキュリティ対策強化に向けて重要な役割を果たすことが期待されています。

※参照：e-Gov 法令検索「サイバーセキュリティ基本法」（2024年12月18日閲覧）

2018年の改正

この改正は、2020年に開催予定だった東京オリンピック・パラリンピックを見据えて実施されたものです。2018年の韓国冬季オリンピックでのサイバー攻撃の経験を踏まえ、大規模イベントに向けたセキュリティ体制の強化が図られました。

この改正により、サイバーセキュリティ基本法はより包括的かつ効果的な枠組みとなり、国家レベルでのサイバーセキュリティ対策が強化されました。

サイバーセキュリティ基本法の2018年の改正内容は次のとおりです。

サイバーセキュリティ協議会の設置（第17条）

2018年の改正では、「サイバーセキュリティ協議会」が新たに設置されました。この協議会は、国の行政機関や重要インフラ事業者で構成されており、官民の連携を強化し、柔軟な対策を協議することを目的としています。

サイバーセキュリティ協議会の設置により、国内外の関係者との円滑な連絡体制が構築されました。これにより、サイバーセキュリティに関する情報共有や迅速な対応が可能になりました。

罰則規定（第38条）

改正法第38条では、サイバーセキュリティ協議会の事務に従事する者または従事していた者が、正当な理由なくその事務に関して知り得た秘密を漏らしたり、盗用したりした場合の罰則を定めています。

具体的には、これらの行為を行った者は1年以下の懲役または50万円以下の罰金に処されます。

※参照：e-Gov 法令検索「サイバーセキュリティ基本法」（2024年12月18日閲覧）

2022年の改正

2022年のサイバーセキュリティ基本法の改正では、急増するサイバー攻撃への対策強化が図られました。主な改正点として、重要インフラ事業者の責務強化、サイバーセキュリティ戦略本部の権限拡大、官民の連携強化が挙げられます。特に、政府機関や企業に対するサイバー攻撃の高度化を受け、迅速な情報共有や対応強化が求められました。

また、国際的なサイバーセキュリティ協力を推進し、日本の防衛能力を強化することも改正の目的の一つです。これにより、国家全体でのサイバーセキュリティ対策がより実効性のあるものとなりました。

能動的サイバー防御とは

サイバーセキュリティ基本法の理念をもとに、サイバー攻撃の洗練化・巧妙化の進展に対してサイバー安全保障の強化を図るための考え方が、能動的サイバー防御です。

能動的サイバー防御（アクティブ・サイバー・ディフェンス）とは、従来の受動的な防御策とは異なり、サイバー攻撃を事前に予測し、積極的に防御策を講じるアプローチです。能動的サイバー防御では、平時から通信を監視し、重要インフラへの攻撃の兆候を探り、兆候があった段階で相手のシステムに入って無害化を図ります。

日本政府は、サイバー安全保障分野での対応能力を欧米主要国並みに向上させるため、能動的サイバー防御の実施に向けた法案を早期に取りまとめていく必要があるとしています。

サイバーセキュリティ基本法に準じる項目

「サイバー安全保障を確保するための能動的サイバー防御等に係る態勢の整備の推進に関する法律案」では、サイバーセキュリティ基本法に準じる次の項目を定めています。

能動的サイバー防御にあたっては、サイバーセキュリティ基本法第23条にある、広報活動を通じて国民の理解と関心を深めることにとくに留意する。

サイバーセキュリティ基本法第24条の、国際的な規範の策定への参画や国際協力を推進することで、能動的サイバー防御に関して諸外国の理解を深めることにとくに留意する。

今しておくべき4つのセキュリティ対策

情報セキュリティにかかるリスクは多岐にわたっているため、セキュリティ対策もさまざまな種類があります。情報セキュリティ担当者や経営者がまず抑えるべきポイントを4つ説明していきます。

ネットワークセキュリティ対策

ネットワークセキュリティとは、ネットワークを安全に利用するために、外部や内部からの不正なアクセスや脅威を防ぎ、情報やシステムを保護するためのセキュリティ対策です。

具体的には、アクセス制御を行い、正当な権限を持つユーザーだけがデータやファイルにアクセスできるように設定するほか、ファイアウォールを導入して許可されたサービスや通信のみを通過させるように制限します。さらに現在では、社内外を問わずすべてのアクセスを制御する「ゼロトラストネットワークアクセス（ZTNA）」の考え方が推奨されています。

また、ネットワーク上のセキュリティリスクを管理するために、不正侵入検知システム（IDS）や不正侵入防御システム（IPS）を活用することも重要です。これにより、ネットワーク環境を安全に保ち、情報漏えいや攻撃のリスクを最小限に抑制可能です。

ネットワークセキュリティ対策については、次の記事で詳しく解説しています。

セキュリティホール（ぜい弱性）対策

セキュリティホールとは、OSやソフトウェアにおけるプログラムの不具合や設計上のミスが原因となった、セキュリティ上の欠陥のことです。

これらの不具合や欠陥は、定期的に配信されるセキュリティパッチを適用することで解消されます。インターネット上でも情報が公開されているため、よく起こりうる問題と対策について押さえておきましょう。

セキュリティホール（ぜい弱性）対策については、次の記事で詳しく解説しています。

クラウドセキュリティ対策

クラウドサービスの利用が増加してきていますが、クラウドサービスを導入するにあたってもっとも大きな障壁となるのは、情報漏えいとデータの喪失です。

クラウドサービスには非常に便利なサービスが充実していますが、どうしてもセキュリティに関する不安が付きまとうという方も少なくないかもしれません。

近年はクラウド環境のセキュリティ対策として、WAF（Web Application Firewall）が注目されています。

本記事で掲載しているサイバーセキュリティに役立つWAFの資料はこちらからご覧になれます。ぜひツール選定の参考にしてみてください。

クラウドセキュリティ対策については、次の記事で詳しく紹介しています。

マルウェア対策

近年話題となった「ランサムウェア」をはじめ、マルウェアやコンピューターウイルスにはさまざまな種類があります。

マルウェアへの対策をとるときは、複数の対策を同時に講じることが必要です。

マルウェア対策ソフトを導入するのはもちろん、ファイアウォールを導入するのもマルウェア対策を強化するうえで有効な手段となります。

ファイアウォールのサービスを次の記事で徹底比較しました。ぜひ製品選びの参考にしてみてください。

サイバーセキュリティ基本法の背景を知って対策をはじめよう！

サイバーセキュリティ基本法は、情報社会の発展に伴い急速に拡大するサイバー攻撃への対応を目的として制定され、その後の改正を通じて新たな脅威に柔軟に対応してきました。この法律は、政府・地方自治体・民間企業・国民が連携して安全な社会を築くための土台となるものです。

サイバーセキュリティ基本法は改正を重ねる中で、重要インフラの保護や専門人材の育成、国際協力の強化など、実効的な施策が進められてきました。サイバーセキュリティ協議会の創設やIPAとの協業など具体的な内容が盛り込まれ、全体的なセキュリティ水準が向上しました。現在では、サイバー安全保障分野での対応能力を向上させるために、能動的サイバー防御のアプローチが検討されています。

今後も、技術の進展とともにサイバー攻撃の洗練化・巧妙化による、新たなリスクが生じることが予想されます。企業は、より強固なサイバーセキュリティ体制の構築のために、自社に必要な情報の収集から対策をはじめていきましょう。

本記事で掲載しているサイバーセキュリティに役立つWAFの資料をこちらからご覧になれます。ぜひツール選定の参考にしてみてください。

BOXILとは

BOXIL（ボクシル）は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員（無料）になると次の特典が受け取れます。

• BOXIL Magazineの会員限定記事が読み放題！
• 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる！
• 約800種類のビジネステンプレートが自由に使える！

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaSへ掲載しませんか？

• リード獲得に強い法人向けSaaS比較・検索サイトNo.1^※
• リードの従量課金で、安定的に新規顧客との接点を提供
• 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心

^{※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査}