Written by てらこ
文章好きのライター。子供や保護者、社会的マイノリティの支援に関心があり、社会福祉を学んでいる。
目次
インターネット技術やコンピューターシステムの活用が進む近年、注目度が高まっている法律のひとつが「サイバーセキュリティ基本法」です。法律に則り、テクノロジーを正しく活用することが社会全体に求められています。サイバーセキュリティ基本法について、企業や個人はどのようなことを理解すればよいのでしょうか。
今回の記事では、サイバーセキュリティ基本法の概要や制度改正、企業が行うべき施策をわかりやすく解説します。
サイバーセキュリティ基本法とは
サイバーセキュリティ基本法は、インターネットに関するさまざまな脅威から国民を保護するために、国が有するサイバーセキュリティに関する責務を明らかにしたものです。また、サイバーセキュリティ基本法には、国が担う役割だけでなく、事業者や国民に関する事項も定められています。
サイバーセキュリティ基本法の概要や改正の主な内容、法律が制定された背景などをご紹介します。
サイバーセキュリティ基本法の概要
そもそも、「サイバーセキュリティ」という用語はどのような意味を表すのでしょうか。サイバーセキュリティとは、「コンピューターなどの電子システム上に保存された情報が適切に保護され、維持・管理されている状態」を示しています。
サイバーセキュリティ基本法は、社会全体のサイバーセキュリティに関するリテラシーを高め、セキュリティを強化していくために定められた法律です。2014年に衆議院で可決され、2015年から施行されています。
サイバーセキュリティ基本法の目的
サイバーセキュリティ基本法の目的は、サイバーセキュリティにおける国の責務を明らかにすることや、国民や企業に対してサイバーセキュリティに関するさまざまな注意事項などを周知することです。国は、サイバーセキュリティに関する多様な取り組みを推進する機関として、内閣官房に「サイバーセキュリティセンター(通称:NISC)」を設置・運用しています。
サイバーセキュリティセンターは、サイバーセキュリティ基本法の施行に伴い、内閣府に設置されていた「情報セキュリティセンター」が再編された機関です。サイバーセキュリティに関するプロジェクトの計画や、各種関係機関の監査などを行っています。
制定背景
サイバーセキュリティ基本法が成立した背景には、民間企業や官庁における不正アクセスやウイルス被害の増加があります。サイバーセキュリティ基本法が制定される以前にも、「高度情報通信ネットワーク社会形成基本法」(通称:IT基本法)など、コンピューターやITに関する法律は定められていました。また、2005年には内閣府に情報セキュリティセンターが設置されています。
しかし、2005年以降も、ウイルスによるシステム障害や個人情報の漏洩といったさまざまな事件が多発していたことから、セキュリティを強化し、安心安全な社会を構築するための法律として、サイバーセキュリティ基本法が制定されました。
改正
サイバーセキュリティ基本法は、2015年の施行から現在に至るまで、2016年と2018年の2度にわたって改正されています。
2016年の改正における主要なポイントは、内閣サイバーセキュリティセンターの権限強化と、国家資格である「情報処理安全確保支援士」の新設です。内閣サイバーセキュリティセンターは、サイバーセキュリティに関する事件が起こった際に、原因を究明し、今後同じ事態が起こらないよう必要な施策を講じることも業務としています。
しかし、2015年の法律施行当時は、内閣サイバーセキュリティセンターが調査できる対象は中央省庁に限られており、民間企業や独立法人で起きた事件の原因は精査できない状況でした。そこで、多くの事件を分析し、国家全体のサイバーセキュリティを向上させるために、内閣サイバーセキュリティセンターの調査対象が拡大され、権限が強化されました。
2018年には、2020年に開催を予定していた東京オリンピック・パラリンピックに向けて、さまざまな取り組みが行われました。2度目の改正においては、国の行政機関や重要インフラ事業者で構成された「サイバーセキュリティ協議会」の設置や、国外の事業者と連携してセキュリティを強化する体制の構築が図られています。
重要インフラに求められる対策
重要インフラとは、国民の安全な生活や社会活動全体の基盤となるサービスのことです。内閣サイバーセキュリティセンターが2017年に発表した第4次行動計画では、「情報通信」「金融」「航空」「空港」「鉄道」「電力」「ガス」「政府・行政サービス(地方公共団体を含む)」 「医療」「水道」「物流」「化学」「クレジット」「石油」の14分野を重要インフラとして定義しています。
14分野の重要インフラ事業者にサイバー攻撃への備えを義務付け
政府は14分野の重要インフラ事業者に対し、サイバー攻撃に対する備えを義務付けることを検討しています。加えて、2022年1月に第4次行動計画の改定案を提出しており、今後さらに重要インフラ事業者に課されるセキュリティ対策の規定は厳格化する見込みです。
また、現行の第4次行動計画の中でも、重要インフラを提供する事業者には、関係省庁と適切に連携を取り、インフラの安定的な供給に努めるとともに、セキュリティ体制の改善強化を図ることが求められています。重要インフラ事業者が強固なセキュリティ体制を構築するよう努めることは、すでにとても重要な事項といえるでしょう。
義務付けの背景
重要インフラを提供する14分野の事業者にサイバー攻撃への適切な防御措置が求められた背景には、教育やビジネスなど、国内の多様な分野においてICTの活用が広がってきたことが挙げられます。情報通信技術は、人々の生活を豊かにすると同時に、ウイルス攻撃や外部操作によって重要なデータが流出するなどのリスクを抱えたシステムです。サイバー攻撃に関する事件には、外部からの不正アクセスによって120万件以上の個人情報データが流出した情報漏洩事件や、サイバー攻撃によって電子カルテシステム障害を負った病院の事例などがあります。
よって、重要インフラ事業者は、不正なサイバー攻撃が原因でインフラの供給を停止したり、機密性の高い情報が漏洩することのないよう、あらゆる施策で自社をサイバー攻撃から守る責務を課されています。
求められる施策
行動計画の中には、重要インフラを提供する事業者が行うべき事柄として、以下のような施策が提示されています。
- 情報セキュリティに関する規定の明文化
- 各種関係機関との適切な情報共有
- 内部・外部からの監査による課題抽出
重要インフラを提供する事業者は、サイバー攻撃に備えた適切な防御策を講ずるとともに、PDCAサイクルを循環させ、体制を改善することで、リスクに対する防衛力を高めていく必要があるとされています。
急増するサイバー攻撃の被害
官民ともにさまざまな対策が行われている一方で、近年大きな問題となっているのが、サイバー攻撃に関する被害の急増です。情報通信研究機構が発表した調査によれば、サイバー攻撃の被害件数は2015年から20年にかけて約8.5倍に増加しています。被害が拡大している現状からは、サイバーセキュリティに関する施策の実施状況が不十分であることが分かります。
出典:https://www.nict.go.jp/cyber/report/NICTER_report_2020.pdf
ランサムウェア被害の増加
不正なサイトやメールを通じてコンピューターにウイルスを送り込み、重要なデータやシステムを使用不能にさせるランサムウェアに関連した被害も急激に拡大しています。
警視庁が2022年に発表した資料によると、企業・団体から報告を受けたランサムウェア被害の件数は、2020年の下半期は23件だったのに対し、2021年の下半期は85件と約3.7倍にまで増加しています。
出典:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf
被害が急増する原因のひとつが、ランサムウェアが有する高い感染力です。ランサムウェアは、初めに感染した一台のコンピューターだけでなく、同じネットワークに繋がる他のコンピューターにまで転移し、被害を拡大させます。
ランサムウェアに一度感染してしまうと、システムが完全に元に戻る保証はありません。企業が被害を防ぐためには、事前に自社のシステムの脆弱性を把握し、適切な予防策を実施する必要があります。
業界最高峰のAIアンチウイルスの紹介
企業がサイバーセキュリティを強化し、自社のデータやシステムを安全に保護するためには、どのような施策が有効なのでしょうか。
企業が簡単に自社のサイバーセキュリティを強化できる方法のひとつとして、アンチウイルスの導入が挙げられます。
エムオーテックス株式会社が運用する「Cyber Protection Management Service(以下、CPMS)」は、高性能なセキュリティソフトウェアを、エムオーテックスのサポートによって安心して、且つスムーズに利用できるサービスのことで、多くの企業に導入されています。CPMSでは、利用するウイルス対策ソフトウェアを、ニーズに合わせて以下の2種類から選択可能です。
Deep Instinct
Deep Instinctは、PC・スマホに対応したウイルス対策ソフトウェアです。exe形式のファイルだけでなく、zip形式やOfficeソフトのファイルなど、多様な形式のファイルをウイルスの脅威から保護します。
Deep Instinctが高い防衛力を誇る理由のひとつが、ディープラーニング技術の活用です。蓄積した多くのデータをもとに不正なマルウェアをあらかじめ排除し、被害を未然に防ぎます。
BlackBerry Protect
BlackBerry Protectは、AIによって脅威となるマルウェアを事前に検知し、従来のウイルス対策ソフトよりも高い精度で、企業のあらゆる情報を保護するソフトウェアです。とくに国内で高い評価を受けている製品です。
さらに、ウイルスに対する防御力をさらに高めたい企業の方は、オプションの「BlackBerry Optics」を併せて導入することもおすすめです。BlackBerry Opticsは、AI アンチウイルスに統合された「防御にフォーカスした」負荷の少ないEDRです。BlackBerry Protectと連動させることで、企業のセキュリティをより強化できます。
まとめ
サイバーセキュリティ基本法は、国だけでなく、企業や個人のデータリテラシーにも関わる重要な法律です。サイバーセキュリティの強化が求められる現在、自社のコンピュータやデータをウイルスの脅威から守るために、CPMSを導入してみてはいかがでしょうか。エムオーテックスでは、専任スタッフによるオンライン相談を受け付けています。ぜひお気軽にお問い合わせ下さい。
関連する記事