ホーム
お役立ち
Google Service
サイバーセキュリティ基本法とは？具体的な内容や企業が取るべき対策をわかりやすく解説！

サイバーセキュリティ基本法とは？具体的な内容や企業が取るべき対策をわかりやすく解説！

サイバーセキュリティ基本法

公開年月日: 2022.01.25

更新年月日: 2024.09.26

サイバーセキュリティ基本法とは？具体的な内容や企業が取るべき対策をわかりやすく解説！

昨今、企業の機密データを狙ったサイバー攻撃が増加しており、多くの会社が甚大な被害を被っています。このような事態を改善するため、政府は2014年にサイバーセキュリティ基本法を制定し、2015年1月から施行されています。

同法律は、企業が安全な経営を実現するための基本事項を規定したものであり、多くの会社がサイバーセキュリティ基本法の内容に沿ってセキュリティ対策を講じています。本記事では、サイバーセキュリティ基本法の内容や企業が取るべき対策について、わかりやすくご説明します。

サイバーセキュリティとは？

サイバーセキュリティ基本法を理解するためには、「サイバーセキュリティ」という言葉を正しく理解する必要があります。

サイバーセキュリティとは、マルウェアをはじめとしたサイバー攻撃から自社のデバイスや情報資産を守ることです。例えば、セキュリティ対策ツールの導入や社員教育など、セキュリティ面における安全性を高めるための対策を意味する言葉です。

情報資産とは、顧客情報や社員情報、自社製品に関する技術データなど、企業が蓄積しているノウハウやデータのことです。これらは企業経営を行う上で必要不可欠なものであり、悪意のある第三者の手に渡ってしまった場合、様々なリスクが考えられます。

例えば、個人情報が流出すれば多額の損害賠償金が発生する可能性がありますし、企業の社会的信用を失います。また、新製品に関する機密情報が漏れた場合は市場競争において大きな不利益を被ることになります。

このように、様々なリスクが存在することを理解していながらも、実際に多くの企業がサイバー攻撃の標的となっており、甚大な被害を受けています。特に個人情報の流出はニュースでも大々的に取り上げられることが多く、謝罪会見をテレビで見たことがある方も多いのではないでしょうか。

近年、 IT の進化に伴いサイバー攻撃は高度化かつ多様化しています。だからこそ、自社の情報資産を守るためのサイバーセキュリティの重要性が高まっており、業種や規模を問わずにすべての企業に求められる経営課題となっています。

サイバーセキュリティに関しては、以下の記事で詳しく解説しています。
サイバーセキュリティとは何か？自社の情報資産を守るための対策方法を徹底解説！

サイバーセキュリティ基本法とは？

サイバーセキュリティ基本法は、サイバーセキュリティに関する施策を推進するための基本理念や基礎事項などを政府が規定した法律であり、2014年に成立、2015年1月から施行されています。

同法律では、以下の項目を法制定の目的として定義しています。

安心・安全に暮らせる社会の実現
経済の向上と持続的な発展
日本の安全保障への寄与
国際社会の平和と安全の確保

昨今、サイバー攻撃による被害は深刻化しており、数多くの企業が大きな被害を受けています。企業ごとに実施する個別の対策では、高度化するサイバー攻撃に対応するのが困難なケースも存在するため、国レベルで総合的な対策を推進するための法律として、サイバーセキュリティ基本法が制定されました。

同法律の対象は行政機関だけではなく、電気やガス、水道のようなインフラ事業者、教育研究機関、その他の民間企業も含まれており、情報安全対策において一般企業が果たす役割やそれを担う人材の教育についても触れられています。

サイバーセキュリティ基本法が制定された背景

サイバーセキュリティ基本法が定められる以前より、日本ではセキュリティに関連する取り組みが実施されていました。法律面では「高度情報通信ネットワーク社会形成基本法（ IT 基本法）」が定められており、内閣官房には情報セキュリティセンター（ NISC ）という組織が設置されていました。

しかし、その一方で企業や政府を狙ったサイバー攻撃は増加の一途を辿り、その手法も高度化かつ多様化していたため、国単位でのサイバーセキュリティ戦略の策定が求められるようになりました。そして、情報セキュリティ基本計画やサイバーセキュリティ戦略といった前段階を経て、2014年にサイバーセキュリティ基本法が成立しました。

基本法という言葉は、国政や国の制度に関する基本方針を示すとともに、その方針に沿うように各施策を定めて個別に法律で遂行されるようにしたものです。つまり、情報安全対策を講じる際に基本となるべき重要な法律であり、この点からも日本政府がサイバーセキュリティを重要な社会課題と認識していることが伺えます。

サイバーセキュリティ基本法の改正

サイバーセキュリティ基本法は過去に二度の改正が行われています。

以下、それぞれの背景と改正内容を詳しくご説明します。

2016年の法改正

2015年、日本年金機構において情報漏洩が発生しました。同機構の情報ネットワークがサイバー攻撃の対象となり、多数の個人情報が流出したのです。しかし、当時の NISC が調査できる対象は中央省庁に限定されており、日本年金機構のような独立行政法人は対象外となっていました。

そのため、 NISC は十分な調査・対策を講じることができず、日本年金機構はサイバー攻撃を受け続けた結果、個人情報流出の被害が拡大しました。2016年の法改正は、この事件が一つのきっかけとなっています。

具体的な改正内容としては、国が実施する監視や調査などの対象範囲が拡大されました。この改正により、前述した日本年金機構のような独立行政法人や特殊法人も対象となっています。

また、対象範囲の拡大で国の業務量が増加したため、サイバーセキュリティ戦略本部の一部事務を IPA （独立行政法人情報処理推進機構）などに委託できるようになりました。さらに具体的な施策として、情報セキュリティ対策における実践的な能力を持つ国家資格「情報処理安全確保支援士」が新設されました。

2018年の法改正

2018年の韓国（平昌）での冬季オリンピック開催に伴い、多くのサイバーテロが発生しました。平昌に限らず、オリンピック開催時はサイバーテロが増加する傾向にあります。

例えば、2012年のロンドンオリンピックや2016年のリオデジャネイロオリンピックでも多くのサイバー攻撃が発生しました。世界各国のアスリートや観客が集まるオリンピックやパラリンピックでは、サイバーテロの被害が甚大になることが懸念されます。

このような経緯を踏まえて、2020年東京オリンピック・パラリンピックの開催に備えるため、官民が連携してセキュリティ対策を講じることができるように「サイバーセキュリティ基本法」の二度目の改正が行われました。

具体的な改正内容としては、官民が密に連携できるように「サイバーセキュリティ協議会」が創設され、2019年4月に改正法の施行とともに協議会が発足しました。また、サイバーセキュリティ戦略本部において、国内外の関係者にスムーズに連絡できるように事務事項を定めました。

2021年の計画策定

2021年9月、内閣官房内閣サイバーセキュリティセンターが「サイバーセキュリティ戦略本部第31回会合」についての報道発表を行いました。

主に、次期サイバーセキュリティ戦略に関する内容が盛り込まれており、サイバーセキュリティ基本法第12条に基づく「サイバーセキュリティ戦略」の策定に向けて、2020年代初めの今後3年間のサイバーセキュリティに係る諸施策の目標や実施方針を示す同戦略案が決定されたのです。

また、サイバーセキュリティに関する情勢や各府省庁の関連施策の実施状況等をとりまとめた「2020年度年次報告及び次期サイバーセキュリティ戦略」に基づく、2021年度の年次計画として「サイバーセキュリティ2021」が決定されました。

サイバーセキュリティ2021は2部構成となっており、サイバーセキュリティに関する情勢と日本におけるサイバーセキュリティ政策に関する内容が記載されています。

民間企業に求められるサイバーセキュリティ

サイバーセキュリティ基本法では、民間企業におけるサイバーセキュリティの重要性が明記されています。

本章では、民間企業に求められるサイバーセキュリティの内容をご紹介します。

サイバーセキュリティの自主的な確保

サイバーセキュリティ基本法では、民間企業が自主的にサイバーセキュリティを確保する必要があることを示しています。企業は個人情報をはじめとした機密データを多く保有しているため、仮にサイバー攻撃の被害を受けた場合には、消費者や社会に大きな影響を与えてしまいます。

そのため、企業はサイバーセキュリティを自主的に確保する必要があり、経営層や一部の情報管理担当者だけではなく、社員一人ひとりが高いセキュリティ意識を持って、日々の業務に取り組む姿勢が求められています。

国や地方公共団体の施策への協力

サイバーセキュリティ基本法では、民間企業に対して「国又は地方公共団体が実施するサイバーセキュリティに関する施策に協力するよう努めるものとする」と明記されています。これは日本全体におけるセキュリティ対策の水準を均一化することが目的です。

民間企業にサイバーセキュリティを一任した場合、会社によってセキュリティ対策の水準に大きな差が生まれます。そのため、日本全体で適正なサイバーセキュリティを推進していくためには、国や地方公共団体が基本方針を定める必要があり、企業はその施策に協力する必要があるというわけです。

サイバーセキュリティの実現には Google Cloud （GCP）がオススメ

前章でご説明した通り、民間企業は自主的にサイバーセキュリティを確保する必要があります。そして、高度化するサイバー攻撃を回避するためには、各種セキュリティツールの導入が必要不可欠になります。

サイバーセキュリティを実現するためのツールは数多く存在しますが、サービスごとに特徴やメリットは異なるため、自社の状況に合わせて最適なものを選択することが大切です。

サービス選択における判断基準は多岐にわたりますが、サービス自体の信頼性や機能性は重要なポイントです。信頼できないサービスをセキュリティ対策としては利用できませんし、様々なサイバー攻撃に対応するためには多くの機能を有したサービスを選ぶべきです。

このような点を踏まえると、サイバーセキュリティの実現には Google Cloud （GCP）がオススメのサービスと言えます。Google Cloud (GCP) とは Google が提供しているパブリッククラウドサービスです。とても高い信頼性を誇り、99.9% 以上のSLA （ Service Level Agreement ：サービス品質保証）を誇っているため、安心して実業務で利用することができます

また、 Google Cloud （GCP）が提供する各種機能は Google の成長とともにアップデートされていきます。日々進化するサイバー攻撃から自社を守る上で、常に Google の最新セキュリティを利用できる点は大きなメリットであると言えます。

Google Cloud （GCP）については、以下の記事で詳しく解説しています。
クラウド市場が急成長中？数あるサービスの中でGCPが人気の理由5選！

以下、 Google Cloud （GCP）の概要やサイバーセキュリティにオススメな理由や具体的なサービスなどを詳しく解説します。

Google Cloud （GCP）の豊富なセキュリティ機能

Google Cloud （GCP）では、様々なシーンのセキュリティ対策に活用できる多種多様なツールを提供しています。

ほんの一部ですが、例えば以下のようなサービスが挙げられます。

Cloud Armor （ DDoS 攻撃への対策）
reCAPTCHA Enterprise　（ bot 攻撃への対策）
Web Security Scanner （セキュリティの脆弱性を可視化）

このように、 Google Cloud （GCP）には様々なセキュリティ機能が内包されています。つまり、 Google Cloud （GCP）を導入することで、自社のセキュリティを一元的に強化できるということです。

用途ごとに別々のセキュリティツールを導入する場合、管理が煩雑になってコストも跳ね上がるため、 Google Cloud （GCP）という一つのサービスで一気通貫したセキュリティ対策を実現できる点は、企業にとって大きなメリットになります。

Google Cloud （GCP）を活用したセキュリティ対策に関しては以下の記事が参考になります。
web アプリケーションを脅威から守る！ Google Cloud （GCP）を活用したセキュリティ対策を一挙に紹介

まとめ

本記事では、サイバーセキュリティ基本法の内容や民間企業が取るべき対策について、わかりやすくご説明しました。

昨今、サイバー攻撃は高度化かつ多様化しており、政府は法律を制定することで国レベルでサイバーセキュリティの実現に取り組んでいます。サイバーセキュリティ基本法は国や自治体だけでなく、民間企業も対象となっているため、自社の状況を正しく把握し、自主的にサイバーセキュリティを確保する必要があります。

市場には数多くのセキュリティツールが存在しますが、検討するのであれば Google Cloud （GCP）がオススメです。同サービスに内包されている各種セキュリティ機能を活用することで、自社のサイバーセキュリティを効率的に実現可能になります。

Google Cloud （GCP）は Google の強固なインフラをバックボーンとしており、とても信頼性の高いサービスであるため、安心して実業務に利用できます。また、 Google Cloud （GCP）は様々なセキュリティ対策機能を提供しているため、自社のセキュリティ強化をあらゆる観点から一気通貫で行うことができます。

そして、 Google Cloud （GCP）を契約するのであれば、トップゲートがオススメです。トップゲート経由で契約することで