改正サイバーセキュリティ基本法のポイント解説、なぜNISCの監査範囲が拡大されたのか

サイバーセキュリティ基本法の背景

　そもそも、「サイバーセキュリティ基本法」（以下、基本法）は、国のセキュリティ対策についての責務と必要な施策を推進するための法律として、2014年11月6日に可決・成立、その後、2015年1月15日に施行された法律だ。

　この法律の主旨は、省庁など行政機関のセキュリティ対策を統合的に掌握し、予防策の指導、効果的なインシデント対応を行えるように、一定の権限を持ったセキュリティ対策機関を設けるというもの。基本法では、当時の内閣官房情報セキュリティセンターで現在のNISC（内閣サイバーセキュリティセンター）を改組し、権限を強化することで、省庁のセキュリティ対策を評価・監視、必要なら指導・指示を直接行える機関とした。

　基本法成立以前は、行政機関の情報セキュリティ対策は各省庁で行われており、セキュリティ基準やポリシー、体制なども別々に行われていた。情報セキュリティマネジメントにおいて、組織ごとに基準やポリシーが変わるのはむしろ正しく、それ自体は問題になることはない。しかし、2010年ころから国内の主だった省庁が海外からのサイバー攻撃を受けはじめ、一部でサイト改善や情報流出の被害も発生した時期もあり、実際の運用は省庁に任せるとしても、防御体制、情報公開を含むインシデント対応の一定の基準を保つ必要があるとの声もあり、省庁横断のCSIRT的な仕組みを導入すべきという考えのもと、基本法が成立された。

改正のポイント解説、一因は日本年金機構問題

　このサイバーセキュリティ基本法だが、施行から1年後に、さっそく改正が行われたことになる。主な改正ポイントは以下の通りだ。


　サイバーセキュリティ基本法が改正されたのは、2015年の日本年金機構における情報流出事件がきっかけとされている。この事件では、不審なメールによる攻撃によって、125万件もの年金に関する個人情報が流出した。政府、厚労省にとっては2007年の消えた年金問題（個人の年金記録の不備、ずさんな管理が社会問題となった）以来の大きな不祥事で、その後の対応の悪さや発表の遅れから、政府や年金制度への不信感が再び広がってしまった。

　このときサイバーセキュリティ基本法は完全施行されていたが、NISCの原因究明調査対象は中央省庁までに限られており、日本年金機構のような独立行政法人は原因究明調査と監視の対象に含まれていなかった。そのためNISCは、日本年金機構に対して迅速な対応ができず、同機構の発表や対応に任せるしかなかったのだ。


【次ページ】人材育成の新資格「情報処理安全確保支援士」とは