概要
サイバーセキュリティ基本法は、2014年11月に成立し2015年1月に施行された、日本のサイバーセキュリティに関する基本的な方針と体制を定めた法律です。サイバーセキュリティに関する施策を総合的かつ効果的に推進するため、基本理念を定め、国・地方公共団体・重要インフラ事業者・サイバー関連事業者・国民それぞれの責務を明確化しています。
本法に基づき、内閣にサイバーセキュリティ戦略本部が設置され、その事務局としてNISC(内閣サイバーセキュリティセンター:National center of Incident readiness and Strategy for Cybersecurity)が設立されました。NISCは政府全体のサイバーセキュリティ戦略の策定・推進、政府機関のセキュリティ対策の監査・助言、重要インフラ防護の調整などを担う中核的な組織です。
2018年の改正では、サイバーセキュリティ協議会の設置が盛り込まれ、官民のサイバーセキュリティに関する情報共有体制が強化されました。さらに2022年にはサイバーセキュリティ戦略(2021-2025)が策定され、「自由、公正かつ安全なサイバー空間」の確保を目標として、DX推進に伴うセキュリティの確保、国際連携の強化、人材育成の推進が重点施策として位置付けられています。
詳細解説
NISCの役割と機能
NISCは、内閣官房に設置されたサイバーセキュリティに関する政府の司令塔です。主な機能として、サイバーセキュリティ戦略の策定支援、政府機関の情報システムに対するセキュリティ監査(GSOC:Government Security Operation Coordination teamによる監視)、重要インフラ分野における防護施策の推進、サイバーセキュリティに関する国際連携の推進があります。
NISCは政府統一基準群(政府機関等のサイバーセキュリティ対策のための統一基準群)を策定し、各省庁はこの基準に基づいてセキュリティ対策を実施します。また、サイバー攻撃が発生した場合の政府全体としての対応調整を行う役割も担っています。
重要インフラ防護
サイバーセキュリティ基本法では、重要インフラ事業者に対してサイバーセキュリティの確保に関する努力義務を課しています。重要インフラ分野は、情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油の14分野が指定されています。
NISCは「重要インフラの情報セキュリティ対策に係る第4次行動計画」に基づき、各分野の所管省庁と連携して、重要インフラ事業者のセキュリティ水準の向上を推進しています。障害が発生した場合の情報共有体制も整備されており、事業者はセプター(CEPTOAR:Capability for Engineering of Protection, Technical Operation, Analysis and Response)を通じて分野内・分野横断での情報共有を行います。
サイバーセキュリティ協議会
2018年の法改正により設置されたサイバーセキュリティ協議会は、国の行政機関、地方公共団体、重要インフラ事業者、サイバー関連事業者、教育研究機関などが参加する官民連携の情報共有体制です。サイバー攻撃に関する脅威情報、脆弱性情報、対処方法などを迅速に共有するための枠組みとして機能しています。
協議会の構成員には守秘義務が課されており、共有された情報の安全な取り扱いが担保されています。これにより、民間企業がサイバー攻撃の被害情報を共有する際の懸念(レピュテーションリスク等)を軽減し、より積極的な情報共有を促進しています。
サイバーセキュリティ戦略と国家安全保障
サイバーセキュリティ基本法に基づき、政府は概ね3年ごとにサイバーセキュリティ戦略を策定します。最新の戦略では、経済安全保障の観点からサプライチェーンリスクへの対応が重視されており、中国・ロシア・北朝鮮などの国家による高度なサイバー攻撃(APT:Advanced Persistent Threat)への備えが国家安全保障上の重要課題として位置付けられています。
また、2022年には能動的サイバー防御(Active Cyber Defense)の検討が本格化し、攻撃者のインフラに対する先制的な対処を可能にするための法的枠組みの整備が議論されています。これは従来の受動的な防御から、より積極的なサイバー空間の安全確保への転換を意味しています。
人材育成と普及啓発
サイバーセキュリティ基本法は、サイバーセキュリティ人材の育成を国の責務として明記しています。NISC主導のもと、サイバーセキュリティ月間(2月)の実施、情報処理安全確保支援士(登録セキスペ)制度の推進、産学官連携による人材育成プログラムの展開が行われています。
また、CYDER(CYber Defense Exercise with Recurrence)と呼ばれる実践的なサイバー防御演習が政府機関や重要インフラ事業者を対象に毎年実施されており、インシデント対応能力の向上が図られています。2025年からは、地方自治体や中小企業向けの演習プログラムも拡充されています。
セキュリティ対策
- 01政府統一基準群への準拠:政府機関および関連組織は、NISCが策定する「政府機関等のサイバーセキュリティ対策のための統一基準群」に基づいたセキュリティ対策を実装してください。基準群は定期的に改訂されるため、最新版への適合状況を継続的に確認・更新しましょう。
- 02重要インフラ防護ガイドラインの遵守:重要インフラ事業者は、所管省庁が定める分野別のセキュリティガイドラインに基づき、リスクアセスメントの実施、セキュリティ対策の策定・実施、インシデント対応体制の構築を行ってください。セプター(CEPTOAR)を通じた情報共有体制にも積極的に参加しましょう。
- 03サイバーセキュリティ協議会への参画と情報共有:サイバーセキュリティ協議会の枠組みを活用し、脅威情報、脆弱性情報、攻撃手法に関する情報を積極的に共有してください。自組織で検知したサイバー攻撃の兆候や実際のインシデント情報を適時に共有することで、社会全体のセキュリティ水準向上に貢献しましょう。
- 04サプライチェーンリスクの管理:サイバーセキュリティ戦略が重視するサプライチェーンリスクに対応するため、調達する製品・サービスのセキュリティ評価を実施してください。特にIT機器やクラウドサービスの調達においては、製造元・提供元の信頼性確認、セキュリティ要件の契約への反映、定期的なリスク評価を行いましょう。
- 05サイバー防御演習への参加と訓練実施:NISCが主催するCYDER等のサイバー防御演習に積極的に参加し、インシデント対応能力を向上させてください。自組織でも定期的にサイバーインシデントを想定した訓練(机上演習、技術演習)を実施し、対応手順の有効性を検証しましょう。
- 06セキュリティ人材の育成と確保:情報処理安全確保支援士の配置、外部研修・資格取得の支援、OJTを通じたセキュリティ人材の育成を計画的に進めてください。経営層を含む全従業員に対するセキュリティリテラシー教育も並行して実施し、組織全体のセキュリティ意識の向上を図りましょう。
事故事例
📋 日本年金機構における大規模個人情報流出事件(2015年)
2015年、日本年金機構がサイバー攻撃を受け、約125万件の年金加入者の個人情報(基礎年金番号、氏名、生年月日、住所)が流出しました。標的型攻撃メールに職員が添付ファイルを開封したことが発端であり、マルウェアが内部ネットワークに侵入して情報を窃取しました。
この事件はサイバーセキュリティ基本法施行直後に発生し、政府機関のセキュリティ体制の脆弱性を露呈しました。事件を受けて、NISCの機能強化、政府統一基準の改訂、GSOC(政府機関情報セキュリティ横断監視・即応調整チーム)の監視対象の拡大など、政府全体のサイバーセキュリティ体制の抜本的な見直しが行われました。
📋 大手電機メーカーへの国家支援型サイバー攻撃(2020年)
2020年、日本の大手電機メーカーが中国系の国家支援型攻撃グループによるサイバー攻撃を受け、防衛関連情報を含む機密データが流出した可能性が明らかになりました。攻撃者は同社の中国拠点のサーバーを経由して日本本社のネットワークに侵入し、長期間にわたって情報を窃取していました。
この事件は、サイバーセキュリティ基本法が重視する国家安全保障とサイバーセキュリティの関係を改めて浮き彫りにしました。防衛産業のサプライチェーン全体のセキュリティ強化が急務となり、防衛装備庁は「防衛産業サイバーセキュリティ基準」の策定を加速させました。また、能動的サイバー防御の議論を促進する契機ともなりました。
📋 地方自治体の基幹システムへのランサムウェア攻撃(2022年)
2022年、複数の地方自治体の基幹業務システムがランサムウェア攻撃を受け、住民票の発行や税務処理などの行政サービスが長期間にわたって停止する事態が発生しました。攻撃者はVPN機器の既知の脆弱性を悪用して内部ネットワークに侵入し、データを暗号化しました。
この事件を受けて、総務省は地方自治体向けの「サイバーセキュリティ対策ガイドライン」を改訂し、VPN機器の脆弱性管理の徹底、バックアップの適切な運用、インシデント対応計画の策定を強く求めました。NISCも地方自治体のセキュリティ支援体制を強化し、CYDER演習の自治体向けプログラムを拡充しました。