IT

サイバーセキュリティ基本法についてのまとめ

2014年11月に国会でサイバーセキュリティ基本法が成立した。

この法律の目的を条文から引用すると、

第一条

この法律は、インターネットその他の高度情報通信ネットワークの整備及び情報通信技術の活用の進展に伴って世界的規模で生じているサイバーセキュリティに対する脅威の深刻化その他の内外の諸情勢の変化に伴い、情報の自由な流通を確保しつつ、サイバーセキュリティの確保を図ることが喫緊の課題となっている状況に鑑み、我が国のサイバーセキュリティに関する施策に関し、基本理念を定め、国及び地方公共団体の責務等を明らかにし、並びにサイバーセキュリティ戦略の策定その他サイバーセキュリティに関する施策の基本となる事項を定めるとともに、サイバーセキュリティ戦略本部を設置すること等により、高度情報通信ネットワーク社会形成基本法(平成十二年法律第百四十四号)と相まって、サイバーセキュリティに関する施策を総合的かつ効果的に推進し、もって経済社会の活力の向上及び持続的発展並びに国民が安全で安心して暮らせる社会の実現を図るとともに、国際社会の平和及び安全の確保並びに我が国の安全保障に寄与することを目的とする。

出典 – サイバーセキュリティ基本法

これは、罰則を集めたような法律ではなく、政府がサイバーセキュリティ関係の戦略を明文化したものである。

これにより、以前まではあいまいだった政府のサイバーセキュリティ体制の役割や責任範囲が明確になった。

サイバーセキュリティ基本法の施行により、内閣に「サイバーセキュリティ戦力本部」が設立され、内閣官房には「内閣サイバーセキュリティセンター(NISC:National center of Incident readiness and Strategy for Cybersecurity)」が設置された。

NISCのホームページには、セキュリティ関連の情報やデータが満載なので、興味がある人にはおすすめ。

「サイバーセキュリティ」の法律による定義

また、この法律によってサイバーセキュリティが国の責務であると法律に明記され、「サイバーセキュリティ」という言葉が法律によって定義された。

第二条

この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。(基本理念)

長いので、必要なところだけ抜いてやると

情報の安全管理、情報システム及び情報通信ネットワークの安全性・信頼性確保のために必要な措置が講じられ、その状態が適切に維持管理されていること

といった感じだ。

対象者別の責務

この法律には、対象者別に3つの責務を規定している。

  1. 国・地方公共団体は、サイバーセキュリティの施策を策定・実施する責務がある。
  2. 重要社会基盤事業者・サイバー関連事業者はサイバーセキュリティの確保に努める。
  3. 国民は、サイバーセキュリティの確保に必要な注意を払うよう努める。

②の「重要社会基盤事業者」というのは通信・電力・ガス・鉄道などの重要なインフラ事業者のこと。

これらの事業者の領域は、サイバー攻撃を通してしまうと大きな被害につながるので特に注意しなければならないということだ。

私たちのような、普通の国民に対してもサイバーセキュリティの確保に必要な注意をを払うように努力しろと書かれている。いわば注意喚起のようなものだろう。

サイバーセキュリティ基本法制定の背景

背景は大きく分けて二つある。

  • サイバー攻撃の急増
  • セキュリティ人材の不足

これらの対策のために、体制を整えようというのが、サイバーセキュリティ基本法制定の目的である。

サイバー攻撃の急増

これは2009年から2018年までの、サイバー攻撃関連通信のパケット数推移である(出典:NICT「NICTER観測レポート2018の公開」)。

グラフを見ると、最近にかけてサイバー攻撃が急増していることがわかる。

IoT機器の急増により、攻撃対象の機器が増加していることが大きな原因の一つだ。それに関しては、こちらの記事を参照。

セキュリティ人材の不足

NRIセキュアテクノロジーズ株式会社が行った企業の情報セキュリティに関する実態調査「NRI Secure Insight 2018」によると、米国・英国・シンガポール・オーストラリアと比較して、圧倒的にセキュリティ人材が不足していることがわかる(図は令和元年版情報通信白書より引用)。

これは2018年のデータだが、このような状況はサイバーセキュリティ基本法が制定された当時から変わっていない。

サイバーセキュリティ基本法等の改正

2016年4月に、「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律」が成立し、2016年10月に施行された。

サイバーセキュリティ基本法の改正により、サイバーセキュリティに関する統一基準が策定された。また、サイバー攻撃に対する監視、分析、演習、訓練といった事の実施対象(つまりはNICTの権限が及ぶ範囲)を、独立行政法人、指定法人にまで拡大した。

また、同時に行われた情報処理の促進による法律の改正によって、新しい国家資格「情報処理安全確保支援士」の試験および制度が設立された。

サイバーセキュリティ法改正の背景

改正のきっかけは、2015年に発生した日本年金機構における情報流出事件である。

この事件では、メールによる攻撃によって125万件もの個人情報が流出した。

この時、NISCの調査対象は中央省庁までに限られていたため、独立法人である年金機構に対して調査や監視などを行うことができず、対応が遅れてしまった。

このような事があったため、法律を改正して、独立行政法人と指定法人にまでNISCの権限が及ぶようにしたのである。