インターネットを使い、重要度の高い情報のやり取りを行う場合、注意しなければならないのが、情報漏えいやウイルス感染といった被害をもたらす、サイバー攻撃等のリスクです。

このようなインターネット上のリスクから情報をどのように守るのかを、国として考え実施していくための基本方針を定めたものが「サイバーセキュリティ基本法」です。

この記事では、「サイバーセキュリティ基本法」とは何なのかについて、特に企業が把握しておきたい点について解説します。

「サイバーセキュリティ基本法」の概要

サイバーセキュリティ基本法とは日本の法律であり、サイバーセキュリティに関する政策の実行を効率的に進めるため、サイバーセキュリティ戦略施策の基本となる考え方を定めたものです。2014年に成立、2015年1月から施行が開始されました。

サイバーセキュリティ基本法の目的は、インターネットの発達により、世界的規模で深刻化する脅威からサイバーセキュリティを図ることです。

もちろん、脅威を受けないためにインターネットの利用を控えようというものではなく「情報の自由な流通を確保しつつ、サイバーセキュリティの確保を図る」という課題への対処という形となっています。

サイバーセキュリティ基本法の適用対象は、行政機関の他に、電力・ガスなどのインフラ事業や、民間事業者、教育研究機関も含まれ、広範囲となっています。

例えば国民についても「基本理念にのっとり、サイバーセキュリティの重要性に関する関心と理解を深め、サイバーセキュリティの確保に必要な注意を払うよう努めるものとする」とされています。

インターネットセキュリティの研究の促進、人材育成や、一般事業者が果たすべき責任も記載。日本の「情報セキュリティ戦略」の基礎となる法律という意図で、制定されているのです。

なぜサイバーセキュリティ基本法が制定されたのか

「サイバーセキュリティ基本法」が制定された背景には、2021年に開催された東京オリンピックが大きく関わっています。

サイバー攻撃から守り、安全に東京オリンピックを開催するため、改めて国家戦略を策定・推進するための体制整備や強化に取り組む必要性が生じたのです。

もともと、2005年からセキュリティに対する対策を行う「内閣官房情報セキュリティ対策推進室」や、「内閣官房情報セキュリティセンター」「情報セキュリティ対策会議」も設置されていました。

しかし、サイバーセキュリティ攻撃はどんどん過激に進化を続け、被害の規模も大きくなります。そこで、さらなる安全強化を図るため「サイバーセキュリティ基本法」が制定されたのです。

企業は何をすべきか? サイバーセキュリティ基本法のポイント

サイバーセキュリティ基本法は、国が定めている法案ですが、各企業も法案を理解して、対策に取り組む必要があります。

企業に求められるのは、積極的なセキュリティ向上の取り組みと国への協力です。

サイバー攻撃に遭ったときの対応を誤れば、企業に関わる広い範囲へ被害が及ぶ可能性があります。ひとつの攻撃が元となり、企業自体の経営が成り立たなくなる危険性も孕んでいるのです。

セキュリティ基本法を重視すべき企業は、インターネット関連企業だけと思われがちですが、それ以外の企業もセキュリティ向上への理解と対応が欠かせません。

企業がサイバーセキュリティに取り組むとき、経済産業省が発表している「サイバーセキュリティ経営ガイドライン」が役立ちます。

経営者が認識しておくべき「3原則」と経営に必要な「重要10項目」が記載されているので、どのようなことを意識して対策に取り組むべきか参考にするとよいでしょう。

経済産業省 サイバーセキュリティ経営ガイドライン

企業が取り入れたいサイバーセキュリティ基本法を踏まえた対策

各企業でサイバーセキュリティに取り組む場合、実際にどのような対策をとるべきなのでしょうか。

まず、サイバーハイジーンという考え方があります。

ハイジーンとは衛生的であることを指します。サイバーハイジーンとは、アップデートやパッチ適用などを徹底することで、IT資産を健康な状態に保つことを言います。

端末やソフトウェアに脆弱性がある状態(不健康な状態)だと、攻撃に弱く危険です。人間と同じく、活動のベースとなる健康を大事にしないといけません。

そして、攻撃の対象となる領域の把握を行います。これはAttack Surface(アタックサーフェス)とも呼ばれる概念です。

利用する端末、ソフトウェアなどIT資産をきちんと管理し、不要な要素はカットして攻撃対象を狭めたり、攻撃対象となりそうな部分に強固なセキュリティを施したりするのです。

※例えばivantiの「Ivanti Neurons for Discovery」というソリューションではAttack Surfaceの概念に基づく施策が実施できます

「サイバーセキュリティ基本法」や「サイバーセキュリティ経営ガイドライン」の重要性は、今後ますます高まっていくはずです。基本的な内容を把握することで、サイバーセキュリティ対策に取り組みましょう。