サイバー攻撃

サイバーセキュリティ基本法とは?内容や制定背景を解説

Written by WizLANSCOPE編集部

サイバーセキュリティ基本法とは?内容や制定背景を解説

目 次


サイバーセキュリティ基本法とは、サイバーセキュリティに関するさまざまな脅威から国民や社会を守るために、国の責務を明確にするとともに、サイバーセキュリティ戦略の策定や施策の基本となる事項を規定したものです。

本法は、政府機関や企業を標的としたサイバー攻撃が増加・高度化し、被害が深刻化していることを受けて制定されました。

企業においては、サイバーセキュリティ基本法の考え方を正しく理解した上で、自社のセキュリティ対策に具体的に落とし込み、継続的に取り組んでいくことが求められます。

本記事では、サイバーセキュリティ基本法の概要や改訂の経緯、さらには企業が実施すべきサイバーセキュリティ対策などについて解説します。

▼本記事でわかること

  • サイバーセキュリティ基本法の概要
  • サイバーセキュリティ基本法の制定背景
  • サイバーセキュリティ基本法が改正された経緯
  • 企業が実施すべきサイバーセキュリティ対策

「サイバーセキュリティ基本法とはどのような法律なのか」を知りたい方はぜひご一読ください。

サイバーセキュリティ基本法とは


サイバーセキュリティ基本法とは、サイバーセキュリティに関するさまざまな脅威から国民や社会を守るために、国の責務を明確にするとともに、サイバーセキュリティ戦略の策定や施策の基本となる事項を規定したものです。

本法には、国が担うべき役割だけでなく、事業活動を行う企業や一般国民に関わる事項も盛り込まれています。

また、我が国のサイバーセキュリティ施策に関する基本理念を示すとともに、国および地方自治体の責任についても明らかにしています。

さらに、サイバーセキュリティ戦略の策定などの基本事項を定めるほか、サイバーセキュリティ戦略本部を設置し、関連施策を総合的かつ効果的に推進する体制を整えています。

これらの取り組みを通じて、経済社会の活性化と持続的な発展を図り、国民が安全かつ安心して生活できる社会を築くことを目指しています。

なお、本法では国民に対しても努力義務を定めており、サイバーセキュリティの重要性に対する関心と理解を深め、セキュリティ確保に必要な注意を払うことが求められています。

参考:国民のためのサイバーセキュリティサイト「サイバーセキュリティ基本法」

サイバーセキュリティ基本法の基本理念

サイバーセキュリティ基本法の第三条では、6つの基本理念が掲げられています。

ここでは、サイバーセキュリティに関する施策を推進する上での重要な考え方が示されています。

1 情報の自由な流通が、表現の自由の享有やイノベーションの創出、経済社会の活力向上において重要であることを踏まえて、国、地方公共団体、重要社会基盤事業者などが連携し、積極的に取り組むこと
2 国民一人ひとりのサイバーセキュリティに対する認識を深め、自発的な対応を促すことに加え、サイバー脅威の被害を防ぎ、かつ被害から迅速な復旧を可能にする強靭な体制を構築する上で重要として取り組むこと
3 インターネットやそのほかの高度情報通信を活用した、活力のある経済社会の構築につながるとして取り組むこと
4 国際的な秩序の形成および発展のために先導的な役割を担うとして、国際的協調のもとで推進すること
5 デジタル社会形成基本法の基本理念に配慮して行うこと
6 国民の権利を不当に侵害しないように留意して行うこと

これらの理念は、サイバーセキュリティ基本法に基づく各種施策を推進する上での重要な指針となるものです。

参考:e-Gov 法令検索「サイバーセキュリティ基本法」

サイバーセキュリティ基本法が制定された背景


サイバーセキュリティ基本法が制定された背景には、政府機関や企業を標的としたサイバー攻撃が増加・高度化し、社会全体に深刻な影響を及ぼすようになったことがあります。

インターネットが、プライベート・ビジネスを問わずに生活のさまざまなシーンに欠かせない存在となった結果、ひとたび大規模なサイバー攻撃が発生すれば、国民生活や経済活動に甚大な影響を及ぼすリスクが高まっています。

こうした危機意識の高まりを受け、2014年に議員立法という形で、より包括的かつ実効性の高いサイバーセキュリティ基本法が制定されました。

本法の制定以前にも、「高度情報通信ネットワーク社会形成基本法」など、サイバーセキュリティに関連する法律は存在していましたが、サイバー被害の深刻化や脅威の多様化を鑑みて、より総合的な戦略の策定と推進体制の強化が求められるようになりました。

こうした時代の変化に応じて法制度も整備が進み、現在ではサイバーセキュリティ基本法を中心とした体制が構築されています。

サイバーセキュリティ基本法が改正された経緯と変更点


サイバーセキュリティ基本法は、制定後も社会情勢の変化やサイバー攻撃の深刻化に応じて改正が重ねられてきました。

ここでは、2016年と2018年に実施された二度の主要な改正について、それぞれの背景と具体的な変更内容を解説していきます。

2016年の改正

2016年の法改正における主な変更点は、NISC(内閣サイバーセキュリティセンター)が調査できる対象範囲の拡大です。

この改正の背景には、2015年に発生した日本年金機構による大規模な個人情報流出事件があります。

当時のサイバーセキュリティ基本法では、NISCが直接調査できる対象は、中央省庁などの行政機関に限定されていました。

そのため、年金機構のような独立行政法人がサイバー攻撃を受けた場合でも、国が十分に関与し、詳細な調査や技術的支援を行う仕組みが整っていませんでした。

この課題を踏まえた改正により、特殊法人や独立行政法人なども国の調査対象に追加されました。

これにより、政府全体としての対応力が強化されることとなりました。

また、調査対象の拡大に伴い業務量も増大することを踏まえ、専門機関であるIPA(情報処理推進機構)へ事務の一部を委託できる仕組みも整備されました。

さらに、高度な専門知識と実務能力を有する人材を育成するため、「情報処理安全確保支援士」という新しい国家資格も2017年に創設されました。

この2016年改正では、組織の枠を越えてセキュリティ対策の網を広げると同時に、それを支える専門人材の強化もあわせて進められた点が大きな特徴といえます。

参考:e-Gov 法令検索「サイバーセキュリティ基本法(平成28年10月21日施行)」

2018年の改正

2018年の改正では、国と民間企業が連携してサイバー脅威に対応するための枠組みが強化されました。

改正の背景には、2020年の東京オリンピック・パラリンピック競技大会という世界的な大規模イベントの開催が迫っていたことが挙げられます。

オリンピックなどの国際イベントにおいては、これまでも開催国が大規模なサイバー攻撃の標的となっており、社会インフラや大会運営システムを狙った攻撃への対策は、国家的な課題と位置付けられていました。

こうした状況を踏まえ、2018年の改正では、「サイバーセキュリティ協議会」が創設されました。

この協議会には、国の行政機関、地方公共団体、重要インフラ事業者、サイバー関連事業者、教育研究機関などが参加し、サイバー攻撃に関する情報の共有や対策の協議を行うとされています。

これにより、これまで各組織に分散していた情報が、迅速かつ体系的に共有できる体制が整備されました。

さらに、機密性の高い情報を適切に取り扱うために、秘密保持義務を課した上で、特定の法人に事務を委託できる仕組みも整えられました。

この改正によって、個々の組織がそれぞれ対策を講じる段階から、社会全体で情報を共有しながら、防御力を高める段階へ前進したといえます。

平時からの情報交換が制度として明確化されたことで、大規模なサイバー攻撃が発生した場合にも、国を挙げて迅速に対応できる体制が強化されました。

参考:e-Gov 法令検索「サイバーセキュリティ基本法(平成31年4月1日 施行)」

企業が実施すべきサイバーセキュリティ対策


サイバーセキュリティ基本法では、国だけでなく、企業(事業者)に対してもセキュリティ確保への主体的な取り組みが求めています。

サイバー関連事業者(省略)その他の事業者は、基本理念にのっとり、その事業活動に関し、自主的かつ積極的にサイバーセキュリティの確保に努めるとともに、国又は地方公共団体が実施するサイバーセキュリティに関する施策に協力するよう努めるものとする。

引用:e-Gov 法令検索「サイバーセキュリティ基本法(平成二十六年法律第百四号)」

サイバー攻撃の手法は年々高度化・巧妙化しており、企業が保有する顧客情報や機密情報などの重要な情報資産を守るためには、単一の対策ではなく、多層的な防御策を講じることが不可欠です。

ここでは、企業が実施すべき基本的かつ重要なサイバーセキュリティ対策について紹介します。

OS・ソフトウェアの最新化

業務で使用しているOSやソフトウェアを常に最新状態に保つことは、セキュリティ対策の基本であり、欠かすことのできない取り組みです。

あらゆるプログラムには、開発段階で見落とされた不具合やセキュリティ上の弱点(脆弱性)が潜んでいる可能性があります。また、運用を続ける中で、新たな脆弱性が発見されることも珍しくありません。

これらの脆弱性を修正せずに放置していると、攻撃者に悪用され、マルウェア感染や情報漏洩といった深刻な被害につながる恐れがあります。

そのため、企業・組織には、脆弱性情報を定期的に収集・確認し、速やかに修正対応を行う運用体制を整備することが求められます。

脆弱性が発見された場合、ベンダーからは「修正用のプログラム(セキュリティパッチ)」が配布されます。

攻撃者に悪用されないためには、このセキュリティパッチが公開されたら、できるだけ早く適用することが重要です。

従業員個々人にアップデートを任せていると、更新漏れが発生する可能性があるため、企業・組織においては、自動アップデート機能を有効にし、更新を確実に実施できる仕組みを整備することが推奨されます。

また、自動更新に対応していないソフトウェアについては、定期的に手動でアップデートを実施する体制を整えることが求められます。

古いバージョンのまま使用を続けると、既知の脆弱性を悪用した攻撃を受けるリスクが高まるため、計画的かつ確実なアップデート管理が欠かせません。

関連ページ

脆弱性とは?意味や発生原因、対策まで解説

セキュリティソリューションの導入

高度化・巧妙化するサイバー攻撃から自社を守るためには、セキュリティソリューションの導入も欠かせません。

セキュリティ専用のツールやシステムを導入することで、脅威の継続的な監視や、インシデント発生時の迅速な対応が可能な体制を構築できます。

代表的なセキュリティソリューションとしては、以下が挙げられます。

アンチウイルスソフト ・リアルタイムでマルウェアを検出し、隔離や駆除を行う
ファイアウォール ・内部ネットワークと外部ネットワーク間の通信を監視し、未許可の通信を遮断する
Webフィルタリング ・悪意のあるWebサイトや不審なWebサイトへのアクセスを制御し、マルウェア感染や情報漏洩を防止する
IDS(不正侵入検知システム) ・ネットワーク上の通信を監視・分析し、不正アクセスや攻撃の兆候を検知する
IPS(不正侵入防止システム) ・ネットワークを継続的に監視し、不正アクセスや異常なパターンを検知すると同時に、自動的に通信を遮断・防御する

これらの製品は、保護対象やリスクの統制に応じて適切に選定し、組み合わせて活用することが重要です。複数の対策を重ねることで、多層的な防御体制を構築できます。

一方で、すべてを個別に導入・運用する場合、管理の複雑化やコスト増大といった課題が生じるケースがあります。特にセキュリティ専門の人材が不足している場合、運用体制の確保がハードルとなりやすいです。

このような場合は、複数の機能を統合したソリューションを選択し、管理負荷を軽減することも検討する必要があります。

関連ページ

多層防御とは?仕組みや必要性、多重防御との違いも解説

従業員への情報セキュリティ教育の実施

セキュリティソリューションの導入といった技術的な対策と並行して、従業員のセキュリティ意識を高める組織的な対策も欠かさずに行う必要があります。

高性能なセキュリティソリューションを導入しても、従業員のセキュリティ意識が低いままでは、不適切な操作や判断によって、セキュリティインシデントを引き起こしてしまう可能性があります。

例えば、安易にフィッシングメールを開封し、マルウェアに感染した場合、被害が社内ネットワーク全体に拡大するリスクも想定されます。

そのため、技術的な仕組みを整えるだけでなく、従業員へのセキュリティ教育を継続的かつ定期的に実施し、組織全体の意識向上を図ることも重要なセキュリティ対策の一つです。

教育の場では、最新のサイバー攻撃手口やセキュリティインシデントにつながりやすい行動例を紹介するだけでなく、実際の被害事例も共有し、具体的なリスクを実感できる内容とすることが効果的です。

さらに座学形式の研修に加え、実際の業務を想定した演習や標的型メールの模擬訓練などを取り入れると、より実践的な対応力を養うことができます。

このように、継続的にセキュリティ教育の機会を設けることが、組織全体のセキュリティレベル底上げにつながります。

関連ページ

情報セキュリティ教育の必要性とは?具体的な実施手順も解説

権限設定の最適化

情報漏洩の原因は、外部からのサイバー攻撃だけではありません。

従業員による不適切な情報の持ち出しや内部不正などが原因となり、情報が漏洩に至るケースも数多く報告されています。

そのため、企業・組織では、業務上の必要性に応じて、適切にアクセス権限を設定することが重要です。

機密性の高い情報にアクセスできる人数が増えれば増えるほど、情報が漏洩するリスクは高まるため、権限を付与する際には、基本的に「必要最小限の権限のみを付与する」という最小権限の原則を意識することが推奨されます。

また、たとえ管理者アカウントであっても、過剰な権限付与は避けるべきです。

万が一、管理者アカウントが攻撃者に乗っ取られた場合、広範な権限が悪用され、システム全体に重大な影響が及ぶ恐れがあります。

そのため管理者アカウントについては、権限設定の最適化に加えて、利用状況のログ監視や定期的な権限の見直しをあわせて行うことが推奨されます。

ID・パスワード管理の徹底

近年、多くの企業で業務システムのクラウド化が進み、複数のクラウドサービスを業務で使うことが一般化しています。

利用するクラウドサービスの数が増えると、その分管理すべきID・パスワードの数も増加します。

その管理を従業員に任せてしまうと、以下のようなリスクが発生します。

  • 「password」や「1234」のような単純なID・パスワードを設定する
  • 過去利用したID・パスワードを再利用する
  • 複数のサービスで同じID・パスワードを使い回す

このような管理状況では、推測や窃取によって攻撃者に不正アクセスされるリスクが高まります。

そのため、企業・組織では、パスワードポリシーを策定し、ID・パスワードの管理を強化することが重要です。

パスワードポリシーとは、パスワードの設定に関して、文字数や文字種などの満たすべき基準や条件を規定したものです。

管理者があらかじめ、最低文字数や使用する文字種、過去に使用したパスワードの再利用可否などを設定しておくことで、セキュリティリスクの低減につながります。

なお、近年ではID・パスワードを狙った攻撃が増えていることから、万が一パスワードを窃取されたとしても、不正アクセスのリスクを低減できる「シングルサインオン(SSO)」や「多要素認証(MFA)」など、認証そのものを強化する仕組みの必要性も高まっています。

関連ページ

パスワードポリシーとは?具体例、設定時のポイントを解説

サイバーセキュリティ対策に「LANSCOPE サイバープロテクション」


本記事で紹介してきた通り、サイバー攻撃の手法は年々高度化・巧妙化しており、企業・組織におけるセキュリティ強化には、高性能なセキュリティソリューションの導入と適切な運用が欠かせなくなっています。

特に、ランサムウェアをはじめとするマルウェア被害は、ニュースで取り上げられる機会も増えており、その被害は深刻かつ大規模になっています。

こうした状況を踏まえ、企業・組織が安全かつ持続的に事業経営を続けていくためには、最新の脅威にも対応できるセキュリティソリューションを導入し、セキュリティ体制を継続的に強化していくことが求められます。

本記事では、「LANSCOPE サイバープロテクション」が提供する2つのセキュリティソリューションを紹介します。

▼2種類のアンチウイルスソリューション

  • セキュリティ専門家が24時間365日管理するMDRサービス「Aurora Managed Endpoint Defense」
  • 各種ファイル・デバイスに対策できる次世代型アンチウイルス「Deep Instinct」

それぞれの特徴を見ていきましょう。

セキュリティ専門家が24時間365日管理するMDRサービス「Aurora Managed Endpoint Defense」


「LANSCOPE サイバープロテクション」では、EDRのマネージドサービス「Aurora Managed Endpoint Defense 」を提供しています。 

高性能なエンドポイントセキュリティ製品を導入しても、適切に運用できなければ意味がありません。

「Aurora Managed Endpoint Defense」は、下記の2種類のセキュリティソリューションの運用を、お客様の代わりにセキュリティのスペシャリストが実施するMDRサービスです。 

  • 脅威の侵入をブロックする「AIアンチウイルス」
  • 侵入後の脅威を検知し対処する「EDR」

セキュリティの専門家がアラートを24時間365日体制で監視・分析し、本当に対応が必要なものだけを厳選して通知するため、不要なアラート対応に追われることがありません。

また、緊急時にはお客様の代わりにサイバー攻撃へ即時で対応するため、業務負荷を減らし、安心して本来の仕事へ集中していただけます。

例えば、「セキュリティ対策に十分な人材リソースを割けない」「そもそもセキュリティの専門人材がいない」という企業・組織の方には、特に有効なサービスといえます。

なお、対応するスタッフは全員、サイバーセキュリティの修士号を取得したプロフェッショナルなので、安心して運用をお任せいただけます。 

「Aurora Managed Endpoint Defense」についてより詳しく知りたい方は、下記のページまたは資料をご確認ください。 

関連ページ

世界トップレベルの専門家が24時間365日監視するMDRサービス「Aurora Managed Endpoint Defense」とは

3分で分かる!
Aurora Managed Endpoint Defense

世界トップレベルの専門家が24時間365日監視するMDRサービスについて、製品概要や一般的な製品との比較などをわかりやすく解説します。

資料をダウンロードする

各種ファイル・デバイスに対策できるNGAV「Deep Instinct」


「LANSCOPE サイバープロテクション」では、 AI(ディープラーニング)を活用した次世代ウイルス対策ソフト「Deep Instinct」を提供しています。

下記のようなセキュリティ課題をお持ちの企業・組織の方は、 検知率99%以上のアンチウイルス製品「Deep Instinct」の利用がおすすめです。※

  • 未知のマルウェアも検知したい
  • 実行ファイル以外のファイル形式(Excel、PDF、zipなど)にも対応できる製品が必要
  • 手頃な価格で高性能なアンチウイルスを導入したい

近年の攻撃者は、セキュリティ製品から検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。

Deep Instinct」は、形式を問わずにさまざまなファイルに対応しているため、多様な形式のマルウェアを検知可能です。

※Unit221B社調べ

関連ページ

未知のウイルスを防ぐ次世代型アンチウイルス「Deep Instinct」とは

まとめ

本記事では「サイバーセキュリティ基本法」をテーマに、その概要や制定された背景、企業が実施すべきサイバーセキュリティ対策などを解説しました。

本記事のまとめ

  • サイバーセキュリティ基本法とは、サイバーセキュリティに関するさまざまな脅威から国民や社会を守るために、国の責務を明確にするとともに、サイバーセキュリティ戦略の策定や施策の基本となる事項を規定したもの
  • サイバーセキュリティ基本法が制定された背景としては、政府や企業を標的としたサイバー攻撃が激しさを増し、被害が深刻化したことが挙げられる
  • 企業が実施すべき基本的なサイバーセキュリティ対策としては、「OS・ソフトウェアの最新化」「セキュリティツールの導入」「従業員への情報セキュリティ教育の実施」「権限設定の最適化」「ID・パスワード管理の徹底」などが挙げられる

サイバーセキュリティ基本法が制定された背景の部分でも説明したように、企業を狙ったサイバー攻撃は年々増加し、その手口も高度化しています。

自社が保有する情報資産を保護し、事業を安全かつ継続的に運営していくためには、それぞれの企業が主体的にサイバーセキュリティ対策を実施する必要があります。

なお、企業・組織におけるセキュリティ強化には、本記事で解説した通り、セキュリティソリューションの導入・運用といった技術的対策と従業員へのセキュリティ教育といった組織的対策を並行して進めることが重要です。

まずは自社のセキュリティ対策状況を改めて確認し、必要な対策が適切に実施できているかを見直してみましょう。

なお、「LANSCOPE サイバープロテクション」では、未知のマルウェアの検知・ブロックに対応可能な2種類のセキュリティソリューションを提供しています。

ランサムウェアをはじめとした高度なマルウェアが増加している現状を踏まえると、精度の高いアンチウイルスの導入は、重要な対策の一つです。

「未知のマルウェアにも対応できるツールを導入したい」「サイバーセキュリティ対策をさらに強化したい」とお考えの方は、ぜひLANSCOPE サイバープロテクションのセキュリティソリューションをご活用ください。

3分で分かる!
LANSCOPE サイバープロテクション

2種類の次世代AIアンチウイルスを提供する「LANSCOPE サイバープロテクション」について、ラインナップと特長を紹介します。

資料をダウンロードする

おすすめ記事