開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2016/05/27

改正サイバーセキュリティ基本法のポイント解説、なぜNISCの監査範囲が拡大されたのか

「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」が4月15日に可決、22日に公布された。今回の改正におけるポイントは、政府機関のセキュリティ対策についてNISCの監査範囲が特殊法人まで拡大されたこと、関連法案の改正でその評価・監査業務を遂行するため情報処理推進機構(IPA)への委託を可能となったこと。情報セキュリティに関する新たな国家資格として「情報処理安全確保支援士」制度が開始されることだ。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。



サイバーセキュリティ基本法の背景

 そもそも、「サイバーセキュリティ基本法」(以下、基本法)は、国のセキュリティ対策についての責務と必要な施策を推進するための法律として、2014年11月6日に可決・成立、その後、2015年1月15日に施行された法律だ。

 この法律の主旨は、省庁など行政機関のセキュリティ対策を統合的に掌握し、予防策の指導、効果的なインシデント対応を行えるように、一定の権限を持ったセキュリティ対策機関を設けるというもの。基本法では、当時の内閣官房情報セキュリティセンターで現在のNISC(内閣サイバーセキュリティセンター)を改組し、権限を強化することで、省庁のセキュリティ対策を評価・監視、必要なら指導・指示を直接行える機関とした。

 基本法成立以前は、行政機関の情報セキュリティ対策は各省庁で行われており、セキュリティ基準やポリシー、体制なども別々に行われていた。情報セキュリティマネジメントにおいて、組織ごとに基準やポリシーが変わるのはむしろ正しく、それ自体は問題になることはない。しかし、2010年ころから国内の主だった省庁が海外からのサイバー攻撃を受けはじめ、一部でサイト改善や情報流出の被害も発生した時期もあり、実際の運用は省庁に任せるとしても、防御体制、情報公開を含むインシデント対応の一定の基準を保つ必要があるとの声もあり、省庁横断のCSIRT的な仕組みを導入すべきという考えのもと、基本法が成立された。

改正のポイント解説、一因は日本年金機構問題

 このサイバーセキュリティ基本法だが、施行から1年後に、さっそく改正が行われたことになる。主な改正ポイントは以下の通りだ。

(1)国が行う不正な通信の監視、監査、原因究明調査等の対象範囲を拡大
(2)サイバーセキュリティ戦略本部の一部事務を独立行政法人情報処理推進機構(IPA)などに委託

関連記事
 サイバーセキュリティ基本法が改正されたのは、2015年の日本年金機構における情報流出事件がきっかけとされている。この事件では、不審なメールによる攻撃によって、125万件もの年金に関する個人情報が流出した。政府、厚労省にとっては2007年の消えた年金問題(個人の年金記録の不備、ずさんな管理が社会問題となった)以来の大きな不祥事で、その後の対応の悪さや発表の遅れから、政府や年金制度への不信感が再び広がってしまった。

 このときサイバーセキュリティ基本法は完全施行されていたが、NISCの原因究明調査対象は中央省庁までに限られており、日本年金機構のような独立行政法人は原因究明調査と監視の対象に含まれていなかった。そのためNISCは、日本年金機構に対して迅速な対応ができず、同機構の発表や対応に任せるしかなかったのだ。

画像
改正サイバーセキュリティ基本法の概要

【次ページ】人材育成の新資格「情報処理安全確保支援士」とは

標的型攻撃 ジャンルのセミナー

標的型攻撃 ジャンルのトピックス

標的型攻撃 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!