「政府のサイバーセキュリティへの取り組み(前編)-サイバーセキュリティ基本法の概要-」

はじめに

インターネットの普及とともにサイバー攻撃などのサイバー空間に対するリスクが増大し、政府のサイバーセキュリティに対する取り組みが強化されています。前編では、2015年1月に施行されたサイバーセキュリティ基本法の概要、取り組み方針などについて解説します。

1.サイバーセキュリティ基本法の成立

2014年11月6日に、サイバーセキュリティに関する施策を総合的かつ効果的に推進し、経済社会の活力の向上、国民が安心して暮らせる社会の実現、国際社会の平和への貢献などを目的とした「サイバーセキュリティ基本法」が、衆議院本会議で可決されました。2015年1月9日にサイバーセキュリティ基本法が施行され、内閣に「サイバーセキュリティ戦略本部」が設置されました。
サイバーセキュリティ基本法は、2001年に施行された「高度情報通信ネットワーク社会形成基本法」(いわゆる、IT基本法)とは別に、インターネットの普及とともに発生してきたセキュリティに関する問題に対応するために、新たな法律として施行されました

2.基本法成立までの取り組み概要

サイバーセキュリティ基本法が成立する以前は、IT戦略本部の下に「情報セキュリティ政策会議」(議長は、内閣官房長官)を設置し、日本のセキュリティ政策の基本戦略、政府機関の総合的な政策および事案対処、重要インフラの情報セキュリティ対策などに対応してきました。具体的には、「情報セキュリティ基本計画」の作成、「政府機関の情報セキュリティ対策のための統一基準」の制定、重要インフラの情報セキュリティ対策に係る行動計画」の作成、GSOC(Government Security Operation Coordination team)の運用などが挙げられます。図1に情報セキュリティ政策の概要を示します。

情報セキュリティ政策の概要

図1 情報セキュリティ政策の概要(出典:重要インフラ専門委員会 第38回会合資料
http://www.nisc.go.jp/conference/seisaku/ciip/dai38/pdf/38sankousiryou02.pdf

3.サイバーセキュリティ基本法の概要

サイバーセキュリティ基本法は4つの章から構成されています。

⑴ 第Ⅰ章 総則
目的、基本理念、関係者の責務などについて規定しています。
⑵ 第Ⅱ章 サイバーセキュリティ戦略
サイバーセキュリティの基本的な考え方、取組方針について規定しています。
⑶ 第Ⅲ章 基本的施策
関係者に対する基本的な施策、関係者間の連携、国際連携、研究開発、普及啓発などについて規定しています。

第Ⅰ章から第Ⅲ章の主な内容の概要を以下に示します。

サイバーセキュリティ基本法の第Ⅰ章~第Ⅲ章の概要

第Ⅰ章.総則

⑴ 基本理念(第3条)
サイバーセキュリティに関する施策の推進にあたっての基本理念について次を規定
① 官民の連携による情報の自由な流通の確保
② 国民1人1人の認識を深め、自発的な対応の促進等、強靱な体制の構築
③ 高度情報通信ネットワークの整備及びITの活用による活力ある経済社会の構築
④ 国際的な秩序の形成
⑤ IT基本法の基本理念を配慮
⑥ 国民の権利を不当に侵害しないよう留意

⑵ 関係者の責務(第4条~第9条)
国、地方公共団体、重要社会基盤事業者(重要インフラ事業者)、サイバー関連事業者、教育研究機関等の責務等について規定している。また、国民にも、サイバーセキュリティの確保に必要な注意を払うことを求めている。

第Ⅱ章.サイバーセキュリティ戦略(第12条)

サイバーセキュリティに関する次の基本的な計画を策定
① サイバーセキュリティに関する施策の基本的な方針
② 国の行政機関等におけるサイバーセキュリティの確保
③ 重要社会基盤事業者等並びに地方公共団体におけるサイバーセキュリティの確保の促進
④ サイバーセキュリティに関する施策を総合的かつ効果的に推進するために必要な事項

第Ⅲ章.基本的施策

⑴ 国の行政機関等におけるサイバーセキュリティに関して、統一的な基準の策定、
  情報システムの共同化、不正な活動の監視及び分析、演習及び訓練の実施(第13条)
⑵ 重要インフラ事業者等におけるサイバーセキュリティに関して、基準の策定、
  演習及び訓練、情報の共有その他の自主的な取組の促進(第14条)
⑶ 民間事業者及び教育研究機関等の自発的なサイバーセキュリティに対する取組の促進
  (第15条)
⑷ 関係府省相互間の連携の強化を図り、国、地方公共団体、重要社会基盤事業者、
  サイバー関連事業者等の相互連携(第16条)
⑸ サイバーセキュリティの犯罪の取締り及びその被害の拡大の防止(第17条)
⑹ 我が国の安全に重大な影響を及ぼすおそれのある事案への対応についての体制の充実強化
  並びに関係機関相互の連携強化(第18条)
⑺ サイバーセキュリティに関連する新たな事業の創出と産業の健全な発展及び国際競争力の
  強化(第19条)
⑻ サイバーセキュリティに関する研究開発及び技術等の実証の推進(第20条)
⑼ サイバーセキュリティに係る事務に従事する者の確保(第21条)
⑽ サイバーセキュリティの教育及び学習の振興、啓発及び知識の普及等(第22条)
⑾ サイバーセキュリティに関し国際的な技術協力、犯罪の取締りその他の国際協力の推進
  (第23条)

⑷ 第Ⅳ章 サイバーセキュリティ戦略本部
本部の設置、所掌事務、体制などについて、第24条~第35条に規定されています。「サイバーセキュリティ基本法」のポイントは、サイバーセキュリティ戦略本部の設置です。「サイバーセキュリティ基本法」により、官民における横断的な情報セキュリティ対策の推進の機能は、法律上の根拠を持つサイバーセキュリティ戦略本部が担うことになります。図2にサイバーセキュリティ戦略本部の概要を示します。

サイバーセキュリティ戦略本部の概要

図2 サイバーセキュリティ戦略本部の概要(出典:情報セキュリティ政策会議 第40回会合資料
http://www.nisc.go.jp/conference/seisaku/ciip/dai39/pdf/39sankousiryou02.pdf

4.サイバーセキュリティ推進の取組方針

サイバーセキュリティ戦略本部の設置に伴い、サイバーセキュリティの強化に関する重要施策の企画立案、調整などの事務局機能を担当する部署として、「内閣サイバーセキュリティセンター」(NISC:National center of Incident readiness and Strategy for Cybersecurity)を内閣官房に設置しました。
 内閣サイバーセキュリティセンターでは、2020年オリンピック・パラリンピック東京大会を見据え、サイバーセキュリティの強化のための施策を推進します。主な取り組みを次に示します。

  1. 政府機関などにおける情報システムに対する不正な活動の監視および分析を行うGSOCの強化の策定と推進
  2. 諸外国の政策、サイバー攻撃の分析機能の強化、および高度な専門知識を有する専門的自在の育成
  3. 国内外のインシデント情報の集約機能強化と官民連携の仕組みの強化
  4. 緊急対応関連機関との連携の構築による国際的な窓口の強化
  5. 各府省からの出向を通じた知見、ノウハウの各府省への還元、任期付任用や人材交流による人材確保

5.まとめ

サイバーセキュリティ基本法が施行され、サイバーセキュリティ戦略本部が中心となって、IT総合戦略本部や国家安全保障会議と緊密な連携を図りながら、「サイバーセキュリティ戦略案」を作成し、重要事項について戦略を実施推進していくことになります。具体的な施策が実行され、サイバーセキュリティの確保に大きく貢献することが期待されます。
今回は、政府の情報セキュリティ政策の全体像について解説しました。
後編では、重要インフラ事業者のセキュリティに関する検討を行っているサイバーセキュリティ戦略本部重要インフラ専門調査会の活動状況についてご紹介します。

Writer Profile

セキュリティ事業部
セキュリティコンサルティング担当 エグゼクティブコンサルタント
サイバーセキュリティ戦略本部重要インフラ専門調査会 委員
松田 栄之



「政府のサイバーセキュリティへの取り組み(前編)-サイバーセキュリティ基本法の概要-」