サイバーセキュリティ基本法・戦略・経営ガイドライン<法規・基準<Web教材<木暮仁

Web教材一覧法規・基準

サイバーセキュリティ基本法・戦略・経営ガイドライン


サイバー攻撃、サイバーセキュリティ

インターネットが形成する情報空間をサイバースペース(cyberspace)といいます。
 サイバー攻撃とは、サイバースペースにおける攻撃の総称です。ネットワークを通じてサーバやコンピュータシステムの破壊活動やデータの窃取、改ざんなどを行う不正アクセス攻撃のことです。
 特に、政治的、社会的理由に基づいて、特定の国家、企業、団体に対して大規模攻撃を行うことをサイバーテロといいます。
 一方、情報化社会の発展により、電力・ガス・水道、鉄道・道路、金融など大規模な重要インフラがネットワークで管理されています。これらのインフラ中枢がサイバー攻撃を受けると、社会・経済に深刻な影響を与えます。そのため、サイバー攻撃へのセキュリティ対策が国家的な問題になっています。

サイバーセキュリティ基本法

サイバーセキュリティ基本法の条文( http://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=426AC1000000104&openerCode=1

サイバーセキュリティ基本法は、国のサイバーセキュリティに関する施策についての基本理念や国の責任範囲を明らかにし、施策の基本的事項の取り組みや体制の設置などを求める法律です。2014年成立・施行、2016年改訂

(目的)第一条

各組織での責務

行政での推進組織

サイバーセキュリティ戦略本部
サイバーセキュリティに関する施策を総合的かつ効果的に推進するため、に、サイバーセキュリティ戦略本部が設置されました(従来の「情報セキュリティ政策会議」を改組)。
主な役割
・サイバーセキュリティ戦略の立案と実施の推進
・政府機関などにおける対策基準の作成や評価の実施
・政府機関などで発生する重大なセキュリティ事案などの評価
NICS(内閣サイバーセキュリティセンター)
サイバーセキュリティ戦略本部とともに、内閣官房に内閣サイバーセキュリティセンター(NICS:National center of Incident readiness and Strategy for Cybersecurity)が設置されました(「情報セキュリティ対策推進室」→「情報セキュリティセンター」を改組)。
主な役割
・「政府機関情報セキュリティ横断監視・即応調整チーム」(GSOC)の運用
・サイバー攻撃などの分析
・国内外のセキュリティ関連情報の収集
・国際連携
・人材育成

2016年改正のポイント

サイバーセキュリティ基本法の改正に合わせて「情報処理の促進に関する法律」(情促法)も一部改正されました。


サイバーセキュリティ戦略

サイバーセキュリティ基本法の規定に基づき、2015年に閣議決定されました。
「サイバーセキュリティ戦略」本文
https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku-kakugikettei.pdf


出典:内閣サイバーセキュリティセンター「我が国のサイバーセキュリティ政策の概要」
( http://www.soumu.go.jp/main_content/000463592.pdf

基本原則

これらの諸点は、テロリズムその他の平和を脅かすような行為やそれらを支援する活動までを自由として許容するものではなく、国民の安全・安心、我が国の安全保障上の観点との調和の中で施策に反映されるべきものである。

行政と民間の相互連携

「多様な主体の連携」で示しているように、サイバーセキュリティ対策には、行政と民間の相互連携が必要になります。


出典:内閣サイバーセキュリティセンター「我が国のサイバーセキュリティ政策の概要」
( http://www.soumu.go.jp/main_content/000463592.pdf

CSIRT(Computer Security Incident Response Team)

ウイルスや不正アクセスなどの関連情報の収集・告知、再発防止策の策定、情報セキュリティに関する教育や啓発、広報などの活動を行う組織の総称です。アンチウイルスソフトの開発などはしていません。
 企業内CSIRTとしては、情報セキュリティ部門などが相当します。
 広義には国のNICSもCSIRTだといえます。

JPCERT/CC

Japan Computer Emergency Response Team/Coordination Center
http://www.jpcert.or.jp/
 CSIRTの国際的な連合体としてはFIRST(Forum of Incident Response and Security Teams)があり、国や地域を代表する形で、国際連携CSIRTが参加しています。JPCERT/CCは、技術的な立場における日本を代表する国際連携CSIRTです。一般社団法人で、特定の政府機関や企業からは独立した中立の組織ですが、行政のセキュリティサンターやアンチウイルスソフトベンダなどと密接な連携をしています。
 その例として、多数のセキュリティ関連組織が、脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」を組織化し、それに基づき、JPCERTとIPAは2004年にJVN(Japan Vulnerability Notes)を立ち上げました。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。

ISOG-J(日本セキュリティオペレーション事業者協議会)

Information Security Operation providers Group Japan
https://isog-j.org/
 セキュリティオペレーションサービスを提供している事業者が結集して、セキュリティオペレーションの必要性を社会にアピールし、かつ、諸問題を解決していく場とし設立されました。JNSA(日本ネットワークセキュリティ協会)の傘下で、セキュリティオペレーションの技術向上、人材育成、関係組織との連携などの各種活動を行っています。

J-CSIP(サイバー情報共有イニシアティブ)

Initiative for Cyber Security Information sharing Partnership of Japan
https://www.ipa.go.jp/security/J-CSIP/index.html
 サイバー攻撃による被害拡大防止のため、経済産業省の協力のもとIPAを情報ハブとして、重要インフラで利用される機器の製造業者を中心に、標的型サイバー攻撃の情報を分析及び加工をして参加組織間で情報共有する実運用を行っています。

J-CRAT(サイバーレスキュー隊)

Cyber Rescue and Advice Team against targeted attack of Japan
https://www.ipa.go.jp/security/J-CRAT/index.html
 経済産業省の協力のもとIPAが活動しています。標的型サイバー攻撃の被害拡大防止のため「標的型サイバー攻撃特別相談窓口」にて、広く一般から相談や情報提供を受付けています。提供された情報を分析して調査結果による助言を実施しますが、その中で、標的型サイバー攻撃の被害の発生が予見され、その対策の対応遅延が社会や産業に重大な影響を及ぼすと判断される組織や、標的型サイバー攻撃の連鎖の元(ルート)となっていると推測される組織などに対しては、レスキュー活動にエスカレーションして支援を行います。


サイバーセキュリティ経営ガイドライン

企業にとってIT利活用は不可欠になっている一方で、機密情報を狙うサイバー攻撃は増加傾向にあり、その手口は巧妙化しています。経済産業省は、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するため、2015年に経済産業省は「サイバーセキュリティ経営ガイドライン」を策定しました(現在はVer 2.0になっています。
 経済産業省「サイバーセキュリティ経営ガイドライン Ver 2.0」
  http://www.meti.go.jp/press/2017/11/20171116003/20171116003-1.pdf

大企業及び中小企業(小規模事業者を除く)のうち、ITに関 する製品やシステム、サービス等を供給する企業及び経営戦略上ITの利活用が 不可欠である企業の経営者を対象として、
サイバー攻撃から企業を守る観点で、
 経営者が認識すべき「3原則」
 サイバーセキュリティ経営の 「重要10項目」
をまとめたものです。

経営者が認識すべき3原則

サイバーセキュリティ経営の重要10項目

これらに関して、「対策を怠った場合のシナリオ」と「対策例」を掲げています。また、「付録A サイバーセキュリティ経営チェックシート」には、「重要10項目」の各項目についてチェックシートあります。

関連ガイドライン等