Web教材一覧法規・基準

サイバーセキュリティ基本法・戦略・経営ガイドライン


サイバーセキュリティ基本法

サイバーセキュリティ基本法の条文( http://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=426AC1000000104&openerCode=1

サイバーセキュリティ基本法は、国のサイバーセキュリティに関する施策についての基本理念や国の責任範囲を明らかにし、施策の基本的事項の取り組みや体制の設置などを求める法律です。2014年成立・施行、2016年改訂

(目的)第一条

各組織での責務

行政での推進組織

サイバーセキュリティ戦略本部
サイバーセキュリティに関する施策を総合的かつ効果的に推進するため、に、サイバーセキュリティ戦略本部が設置されました(従来の「情報セキュリティ政策会議」を改組)。
主な役割
・サイバーセキュリティ戦略の立案と実施の推進
・政府機関などにおける対策基準の作成や評価の実施
・政府機関などで発生する重大なセキュリティ事案などの評価
内閣サイバーセキュリティセンター
サイバーセキュリティ戦略本部とともに、内閣官房に内閣サイバーセキュリティセンター(NICS:National center of Incident readiness and Strategy for Cybersecurity)が設置されました(「情報セキュリティ対策推進室」→「情報セキュリティセンター」を改組)。
主な役割
・「政府機関情報セキュリティ横断監視・即応調整チーム」(GSOC)の運用
・サイバー攻撃などの分析
・国内外のセキュリティ関連情報の収集
・国際連携
・人材育成

2016年改正のポイント

サイバーセキュリティ基本法の改正に合わせて「情報処理の促進に関する法律」(情促法)も一部改正されました。


サイバーセキュリティ戦略

サイバーセキュリティ基本法の規定に基づき、2015年に閣議決定されました。
「サイバーセキュリティ戦略」本文
https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku-kakugikettei.pdf


出典:内閣サイバーセキュリティセンター「我が国のサイバーセキュリティ政策の概要」
( http://www.soumu.go.jp/main_content/000463592.pdf

基本原則

これらの諸点は、テロリズムその他の平和を脅かすような行為やそれらを支援する活動までを自由として許容するものではなく、国民の安全・安心、我が国の安全保障上の観点との調和の中で施策に反映されるべきものである。

行政と民間の相互連携

「多様な主体の連携」で示しているように、サイバーセキュリティ対策には、行政と民間の相互連携が必要になります。


出典:内閣サイバーセキュリティセンター「我が国のサイバーセキュリティ政策の概要」
( http://www.soumu.go.jp/main_content/000463592.pdf

(注)CSIRT(Computer Security Incident Response Team)

ウイルスや不正アクセスなどの関連情報の収集・告知、再発防止策の策定、情報セキュリティに関する教育や啓発、広報などの活動を行う組織の総称です。アンチウイルスソフトの開発などはしていません。
 企業内CSIRTとしては、情報セキュリティ部門などが相当します。
 日本ではJPCERT/CC(Japan Computer Emergency Response Team/Coordination Center )、米国ではCERT/CCなど、国レベルのCSIRTがあります。JPCERT/CCは一般社団法人で、特定の政府機関や企業からは独立した中立の組織ですが、上の行政のセキュリティサンターやアンチウイルスソフトベンダなどと密接な連携をしています。


サイバーセキュリティ経営ガイドライン

企業にとってIT利活用は不可欠になっている一方で、機密情報を狙うサイバー攻撃は増加傾向にあり、その手口は巧妙化しています。経済産業省は、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するため、2015年に経済産業省は「サイバーセキュリティ経営ガイドライン」を策定しました(現在はVer 2.0になっています。
 経済産業省「サイバーセキュリティ経営ガイドライン Ver 2.0」
  http://www.meti.go.jp/press/2017/11/20171116003/20171116003-1.pdf

大企業及び中小企業(小規模事業者を除く)のうち、ITに関 する製品やシステム、サービス等を供給する企業及び経営戦略上ITの利活用が 不可欠である企業の経営者を対象として、
サイバー攻撃から企業を守る観点で、
 経営者が認識すべき「3原則」
 サイバーセキュリティ経営の 「重要10項目」
をまとめたものです。

経営者が認識すべき3原則

サイバーセキュリティ経営の重要10項目

これらに関して、「対策を怠った場合のシナリオ」と「対策例」を掲げています。また、「付録A サイバーセキュリティ経営チェックシート」には、「重要10項目」の各項目についてチェックシートあります。

関連ガイドライン等