最終更新日 2024年9月29日
記事の概要
この記事では情報セキュリティにおける国の動向を説明しています。
セキュリティについて考える上で、国の動向を知ることは重要です。
なぜなら、国が策定したガイドラインはベストプラクティスを示すことが多いため、その考え方を取り入れることで強固なセキュリティを築くことに繋がるからです。
今回の記事で説明する主な内容は以下になります。
- NISC(内閣サイバーセキュリティセンター)
- サイバーセキュリティ基本法
- サイバーセキュリティ戦略
- サイバー・フィジカル・セキュリティ対策フレームワーク
- サイバーセキュリティ経営ガイドライン
- 中小企業の情報セキュリティ対策ガイドライン
この記事はこんな人にオススメ!
● 国のサイバーセキュリティ政策を把握し実務に反映したい人!
● 法的枠組みに基づくセキュリティ対策を構築する際の参考にしたい人!
● 情報安全確保支援士試験を受験する人!
NISC(内閣サイバーセキュリティセンター)
国のサイバーセキュリティに関する対策を行っているのがNISC(内閣サイバーセキュリティセンター)です。
この組織は、日本政府のサイバーセキュリティに関する総合的な対策を推進するための組織です。
2005年に設立され、政府全体のサイバーセキュリティ政策の企画・立案、重要インフラのセキュリティ対策の調整、
国際的なサイバーセキュリティ協力の推進などを行っています。
また、サイバー攻撃への対応能力の向上を図るため、各種訓練や情報共有の促進も行っています。
身近な例としては、政府のウェブサイトがサイバー攻撃を受けた場合、NISCがその対応を指揮し、影響を最小限に抑えるための対策を講じたりします。
NISCは他にも、サイバーセキュリティ戦略本部の事務手続きや各種調整を行っており、サイバーセキュリティ戦略本部の事務局(サポート役)という立ち位置の組織です。
身近なものに例えると!
NISCを身近な例で説明すると、「セキュリティガード」のような存在です。
たとえば、あなたの住んでいるマンションにセキュリティガードがいて、建物に侵入者が入らないように常に監視し、問題があればすぐに対応します。
NISCはそれを日本全体で行っており、政府や重要な施設がサイバー攻撃を受けないように24時間体制で守っている、国全体のセキュリティガードのような役割を果たしています。
サイバーセキュリティ基本法
サイバーセキュリティ基本法の概要
サイバーセキュリティ基本法を簡単に言うと、国全体のサイバー安全を守るためのルールブックです。
この法律があることで、政府や企業がサイバー攻撃から情報やシステムを守るための具体的な対策を講じることができます。
ルールに従うことで、国全体が安全にデジタル社会を運営できるようにしています。
サイバーセキュリティ基本法の記載内容
サイバーセキュリティ基本法の具体的な記載内容は以下です。
項目 | 説明 |
---|---|
基本方針の策定 | サイバーセキュリティに関する政府の基本方針を示し、政府機関や重要インフラ事業者が守るべき基準を設定します。 |
戦略の策定と実施 | 政府は3年ごとにサイバーセキュリティ戦略を策定し、それに基づいて対策を推進します。 |
責務の明確化 | 政府機関、地方公共団体、重要インフラ事業者、民間企業の責務を明確にし、それぞれがセキュリティ対策を行う責任を持つことを定めています。 |
情報共有と協力 | 政府や関係機関、民間企業がサイバーセキュリティに関する情報を共有し、連携して対策を講じることを促進します。 |
この法律は、サイバー攻撃から国や社会を守るための枠組みを整え、関連するすべての主体が適切に役割を果たすことを求めています。
実際の記載内容は↓のような感じです。
(目的)
サイバーセキュリティ基本法 | e-Gov 法令検索
第一条この法律は、インターネットその他の高度情報通信ネットワークの整備及びデジタル社会形成基本法(令和三年法律第三十五号)第二条に規定する情報通信技術(以下「情報通信技術」という。)の活用の進展に伴って世界的規模で生じているサイバーセキュリティに対する脅威の深刻化その他の内外の諸情勢の変化に伴い、情報の自由な流通を確保しつつ、サイバーセキュリティの確保を図ることが喫緊の課題となっている状況に鑑み、我が国のサイバーセキュリティに関する施策に関し、基本理念を定め、国及び地方公共団体の責務等を明らかにし、並びにサイバーセキュリティ戦略の策定その他サイバーセキュリティに関する施策の基本となる事項を定めるとともに、サイバーセキュリティ戦略本部を設置すること等により、同法と相まって、サイバーセキュリティに関する施策を総合的かつ効果的に推進し、もって経済社会の活力の向上及び持続的発展並びに国民が安全で安心して暮らせる社会の実現を図るとともに、国際社会の平和及び安全の確保並びに我が国の安全保障に寄与することを目的とする。
サイバーセキュリティ基本法の活用シーン
サイバーセキュリティ基本法は、国全体のサイバーセキュリティを向上させるための基盤として、多くの対策の根拠として使用されます。
サイバーセキュリティ基本法は、以下のような場面で主に活用されています。
活用場面
1.政府のサイバーセキュリティ対策:
政府機関が情報システムを守るための方針や戦略を策定し、それに基づいて対策を実施する際に使用されます。
2.重要インフラの保護:
電力や通信などの重要インフラを管理する企業がこの法律に基づきセキュリティ対策強化の指針として使います。
3.情報共有と連携:
サイバー攻撃に対する防御を強化のため政府と民間企業、国際機関間で情報共有や協力の枠組み作成に適用されます。
身近なものに例えると!
サイバーセキュリティ基本法を身近なものに例えると、「学校の校則」に似ています。
学校では、全生徒が守るべきルール(校則)があります。これにより、みんなが安全で安心して学校生活を送れるようになります。
同様に、サイバーセキュリティ基本法は、国全体でサイバー攻撃から守るためのルールを定めており、これに基づいて政府機関や企業が対策を講じることで、社会全体が安全であることを目指しています。
サイバーセキュリティ戦略
サイバーセキュリティ戦略の概要
サイバーセキュリティ戦略とは、国全体でサイバーセキュリティを強化するための計画です。
これには、政府や企業、重要なインフラがサイバー攻撃から守られるための目標や方針が含まれています。
簡単に言うと、国が「どうやってサイバー攻撃から守るか」を決めて、それに基づいてみんなが対策を実行するための道筋を示すものです。
サイバーセキュリティ戦略の内容
サイバーセキュリティ戦略には、以下のような内容が含まれています。
項目 | 説明 |
---|---|
基本方針の策定 | サイバーセキュリティに関する政府の基本方針を示し、政府機関や重要インフラ事業者が守るべき基準を設定します。 |
戦略の策定と実施 | 政府は3年ごとにサイバーセキュリティ戦略を策定し、それに基づいて対策を推進します。 |
責務の明確化 | 政府機関、地方公共団体、重要インフラ事業者、民間企業の責務を明確にし、それぞれがセキュリティ対策を行う責任を持つことを定めています。 |
情報共有と協力 | 政府や関係機関、民間企業がサイバーセキュリティに関する情報を共有し、連携して対策を講じることを促進します。 |
サイバーセキュリティ基本法に、サイバーセキュリティ戦略について定義されています。
第二章 サイバーセキュリティ戦略
サイバーセキュリティ基本法 | e-Gov 法令検索
第十二条政府は、サイバーセキュリティに関する施策の総合的かつ効果的な推進を図るため、サイバーセキュリティに関する基本的な計画(以下「サイバーセキュリティ戦略」という。)を定めなければならない。
2サイバーセキュリティ戦略は、次に掲げる事項について定めるものとする。
一サイバーセキュリティに関する施策についての基本的な方針
二国の行政機関等におけるサイバーセキュリティの確保に関する事項
三重要社会基盤事業者及びその組織する団体並びに地方公共団体(以下「重要社会基盤事業者等」という。)におけるサイバーセキュリティの確保の促進に関する事項
四前三号に掲げるもののほか、サイバーセキュリティに関する施策を総合的かつ効果的に推進するために必要な事項
3内閣総理大臣は、サイバーセキュリティ戦略の案につき閣議の決定を求めなければならない。
4政府は、サイバーセキュリティ戦略を策定したときは、遅滞なく、これを国会に報告するとともに、インターネットの利用その他適切な方法により公表しなければならない。
5前二項の規定は、サイバーセキュリティ戦略の変更について準用する。
6政府は、サイバーセキュリティ戦略について、その実施に要する経費に関し必要な資金の確保を図るため、毎年度、国の財政の許す範囲内で、これを予算に計上する等その円滑な実施に必要な措置を講ずるよう努めなければならない。
サイバーセキュリティ基本法の活用シーン
サイバーセキュリティ基本法は以下のような場面で活用されています。
活用場面
サイバーセキュリティ戦略は、政府や企業がサイバー攻撃から国や社会を守るために使われています。
政府機関がセキュリティ対策を計画・実施するためのガイドラインとして使われ、企業が自社のセキュリティ体制を強化する際の指針にもなります。また、国際的なサイバーセキュリティの連携を進めるための基盤としても活用されています。これにより、全体的なサイバーセキュリティの向上が図られます。
身近なものに例えると!
サイバーセキュリティ戦略を身近なものに例えると、「災害避難計画」に似ています。
例えば、学校や地域で災害が起きたときにどう避難するか、どこに集まるかを決めておく計画がありますよね。
サイバーセキュリティ戦略は、それと同じように、サイバー攻撃が起きたときにどう対処するか、何を準備しておくかを国家全体で決めておく計画です。これに基づいて、政府や企業が実際の対策を行っています。
サイバー・フィジカル・セキュリティ対策フレームワーク
サイバーフィジカル・セキュリティ対策フレームワークの概要
サイバー・フィジカル・セキュリティ対策フレームワーク(ver1.0)は、物理的なインフラ(例えば、電力や交通)とサイバー空間が密接に関連する現代社会で、これらを総合的に守るための対策を体系化したガイドラインです。
簡単に言うと、デジタルと物理的なシステムが相互に影響を与える時代に、両方を一緒に守るためのルールや指針をまとめたものです。
サイバーフィジカル・セキュリティ対策フレームワークの構成
項目 | 説明 |
---|---|
基本的な概念と目的 | サイバー空間と物理空間が相互に依存する現代社会におけるセキュリティの重要性を強調し、その保護のための基本的な指針を提供。 |
リスク管理 | 組織がサイバーとフィジカル両面のリスクを包括的に評価・管理するための方法を提示。 |
具体的な対策例 | 企業やインフラ事業者が取るべき具体的なセキュリティ対策を例示。 |
フレームワークの活用方法 | どのようにして組織がこのフレームワークを活用し、セキュリティ体制を強化できるかについてのガイダンスを提供。 |
実際の内容では以下のように記載されています。
想定されるセキュリティインシデント:
CPSF_ver1.0.pdf (meti.go.jp)
サービス拒否攻撃、ランサムウェアへの感染等に より、⾃組織のデータを取り扱うシステムが停⽌する。
脆弱性:
情報システムや産業⽤制御システムを構成しているモノのセキュリティ状況やネットワーク接続状況が適切に管理(例︓資産の棚卸し、モニタリング)されていない。
対策:
システムを構成するハードウェア、ソフトウェア及びその管理情報(例︓名称、バージョン、ネットワークアドレス、管理責任者、ライセンス情報)の⼀覧を作成し、適切に管理する。
サイバーフィジカル・セキュリティ対策フレームワークの活用シーン
このフレームワークは、特に「Society 5.0」の実現に向けて、サイバーとフィジカルの統合された視点でのセキュリティ対策が求められる時代に対応するために設計されています。
サイバー・フィジカル・セキュリティ対策フレームワーク(ver1.0)は、主に以下の用途で使用されています。
活用場面
1.インフラ事業者のセキュリティ強化:
電力や交通などの重要インフラ事業者が、サイバー攻撃や物理的な脅威からシステムを守るための対策を立てる際に参考にされます。
2.政府の指針:
政府機関が、社会全体でセキュリティを強化するための方針や施策を策定する際の基盤として利用されます。
3.企業のリスク管理:
企業がサイバーおよびフィジカルなリスクを総合的に管理し、事業継続性を確保するためのフレームワークとして活用されます。
これにより、デジタルと物理の両方のリスクを包括的に管理し、社会全体の安全を確保することを目指しています。
身近なものに例えると!
サイバー・フィジカル・セキュリティ対策フレームワークを身近なもので例えると、「家のセキュリティシステム」に似ています。
家のセキュリティシステムは、窓やドアのロック、監視カメラ、アラームなどを組み合わせて、家全体を守ります。
同様に、このフレームワークは、デジタル(サイバー)と物理的な(フィジカル)セキュリティを統合して、インフラやシステムを包括的に守るためのガイドラインです。
サイバーセキュリティ経営ガイドライン
サイバーセキュリティ経営ガイドラインの概要
サイバーセキュリティ経営ガイドライン(ver2.0)は、企業の経営者向けに、サイバーセキュリティ対策を推進するための基本的な指針を提供するものです。
簡単に言うと、企業がサイバー攻撃から自社を守るために、経営者が知っておくべき重要なポイントやリーダーシップの役割を示したガイドラインです。
これにより、経営者がサイバーセキュリティに対する責任を明確に認識し、適切な対策を導入することを目指しています。
サイバーセキュリティ経営ガイドラインの構成
サイバーセキュリティ経営ガイドライン(ver2.0)は、主に以下の内容で構成されています。
項目 | 説明 |
---|---|
経営者のリーダーシップ | 経営者がサイバーセキュリティに対する責任を明確に持ち、全社的に取り組むことの重要性を強調。 |
リスク管理 | サイバーリスクを評価し、適切な管理体制を構築するための具体的な手順を示す。 |
重要な10項目 | 経営者がCISO(最高情報セキュリティ責任者)や担当者に指示すべき具体的なセキュリティ対策の10項目を提示。 |
サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集が公開されました。
以下はその内容です。
独立行政法人情報処理推進機構(IPA)は、10月31日に「サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 第4版」(以下、第4版)を発行しました。これは、2023年3月に経済産業省とIPAが発行した「サイバーセキュリティ経営ガイドラインVer3.0(以下、経営ガイドライン)」の「重要10項目」の実践に必要な事例を充実させたものです。
主な改訂内容
- 第2章:「リテラシーにとどまらないプラスセキュリティ教育の実践」「DX推進を支える仕組みづくり」「サプライチェーンでの連携体制の構築」などのプラクティスを追加
- プラクティス3-2:経営層やスタッフ部門等の役割に応じた、リテラシーにとどまらないセキュリティ教育実践
- プラクティス4-2:『サイバーセキュリティ経営可視化ツール』を用いたリスク対策状況の把握と報告
- プラクティス5-2:サイバーセキュリティ対策において委託すべき範囲の明確化とその管理
- プラクティス5-3:ITサービスの委託におけるセキュリティ対策を契約と第三者検証で担保
- プラクティス5-4:事業部門によるDX推進をセキュリティ確保の観点から支える仕組みづくり
- プラクティス7-4:CSIRT業務の属人化回避も兼ねたインシデントや脅威に関する情報の共有・蓄積
- プラクティス7-5:無理なく実践するインシデント対応演習
- プラクティス9-2:サプライチェーンで連携する各社が『自社ですべきこと』を実施する体制の構築
- プラクティス10-2:『情報の共有・公表ガイダンス』に基づくCSIRTと社内外関係者との連携推進
- 第4版を作成するために実施した企業インタビュー調査で得られた「指示5」に関するプラクティスのうち、事例で紹介できなかったものをミニプラクティスとして掲載
- ミニプラクティス1:クラウドサービスを利用する際のセキュリティ対策を強化するにはどうすればよいのか?
- ミニプラクティス4:従業員向けのサイバーセキュリティ教育の効果を高めるにはどうすれよのか?
本プラクティス集は「情報セキュリティの取組みはある程度進めてきたが、サイバー攻撃対策やインシデント対応は強化が必要。それに向けた体制づくりや対策は何から始めるべきか」と考えている経営者やCISO等、セキュリティ担当者を主な読者と想定し、経営ガイドラインの「重要10項目」を実践する際に参考となる考え方やヒント、実施手順、実践事例を記載しています。
全体としてCISO等やセキュリティ担当者向の内容ですが第1章は経営者向けの内容となっています。本プラクティス集の構成は以下の通りです。サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
- 第1章経営とサイバーセキュリティ
- 第2章サイバーセキュリティ経営ガイドライン実践のプラクティス
- 第3章セキュリティ担当者の悩みと取組みのプラクティス
- 付録サイバーセキュリティに関する用語集、サイバーセキュリティ対策の参考情報
サイバーセキュリティ経営ガイドラインの活用シーン
このガイドラインは、企業全体でサイバーセキュリティ対策を効果的に実施するための道しるべとなるものです。
サイバーセキュリティ経営ガイドライン(ver2.0)は、主に以下の用途で使われています。
活用場面
1.経営層の意思決定:
経営者がサイバーセキュリティに関する重要な意思決定を行う際の参考資料として利用されます。
2.企業のセキュリティ体制強化:
企業がリスク管理やセキュリティ対策を強化するための指針として活用されます。
3.従業員教育:
サイバーセキュリティの重要性を従業員に認識させ、適切な対応を促すための教材として使用されます。
このガイドラインに基づいて、企業全体でセキュリティ意識を高め、適切な対策を実施することが目指されています。
身近なものに例えると!
サイバーセキュリティ経営ガイドライン(ver2.0)を身近なもので例えると、「会社の防災マニュアル」に似ています。
防災マニュアルでは、災害時にどう行動するか、誰が何をするかが決められています。
同様に、このガイドラインは、サイバー攻撃が起こったときに経営者が何をすべきか、どのようにリスクを管理するかを指示するものです。これにより、会社全体がサイバー攻撃に対して適切に対応できるようにします。
中小企業の情報セキュリティ対策ガイドライン
中小企業の情報セキュリティ対策ガイドラインの概要
中小企業の情報セキュリティ対策ガイドライン 第3版は、中小企業がサイバーセキュリティを強化するための基本的な指針を提供するものです。
簡単に言うと、ITに詳しくない経営者でも理解しやすい形で、セキュリティリスクへの対応策を具体的に示したガイドラインです。
これを活用することで、中小企業でも効果的なセキュリティ対策を講じることができるようになります。
中小企業の情報セキュリティ対策ガイドラインの構成
中小企業の情報セキュリティ対策ガイドライン 第3版は、以下のような内容で構成されています。
これにより、中小企業でも手軽にセキュリティ対策を導入できるようになっています。
項目 | 説明 |
---|---|
経営者向けのアドバイス | セキュリティの重要性を理解し、リスク管理を行うための基本的な考え方を説明。 |
経営者向けのアドバイス | 中小企業が実践できる簡単で効果的なセキュリティ対策(例えば、パスワードの管理やソフトウェアの更新など)を具体的に提示。 |
実践編 | ITに詳しくない経営者でも取り組めるよう、ステップバイステップでの実践方法を紹介。 |
実際に記載されている内容は以下になります。
■経営者は何をやらなければならないのか
中小企業の情報セキュリティ対策ガイドライン第3.1版 (ipa.go.jp)
企業で情報セキュリティを確保するための、経営者の役割を説明します。情報セキュリティの確保に向けて、経営者は、(1)に示す「3原則」について認識したうえで、(2)に示す「重要7項目の取組」の実施を指示する必要があります。(1)認識すべき「3原則」経営者は、以下の3原則を認識し、対策を進める必要があります。
経営者は、IT活用を推進する中で、情報セキュリティ対策の重要性を認識し、自らリーダーシップを発揮して対策を進めます。現場の従業員は、安心して業務に従事できる環境を求める一方、利便性が低下し、面倒な作業を伴う対策には抵抗感を示しがちです。そこで、情報セキュリティ対策は、経営者が判断して意思決定し、自社の事業に見合った情報セキュリティ対策の実施を主導します。
中小企業の情報セキュリティ対策ガイドラインの活用シーン
中小企業の情報セキュリティ対策ガイドラインは具体的には以下のようなケースで使用されいます。
これにより、中小企業でも手軽にセキュリティを強化することが可能になります。
活用場面
1.セキュリティ対策の導入:
中小企業が自社で取り組むべき具体的なセキュリティ対策を計画・実施する際のガイドとして使用。
2.従業員教育:
従業員に対して、情報セキュリティの基本を理解させ、適切な行動を促すための教育資料として活用。
3.リスク管理の支援:
経営者がセキュリティリスクを理解し、対策を講じる際の支援ツールとして利用。
身近なものに例えると!
中小企業の情報セキュリティ対策ガイドライン 第3版を身近なもので例えると、「家庭の安全チェックリスト」に似ています。
例えば、家庭で火災や泥棒を防ぐために、戸締りや火元の確認などのチェックリストを作成しますよね。
同様に、このガイドラインは、中小企業がサイバー攻撃から守るために、どのような対策を取るべきかをリスト化し、実践しやすい形で提供しているものです。
ゴリタン
インフラエンジニアとして、ネットワークとサーバーの運用・保守・構築・設計に幅広く携わり、
現在は大規模政府公共データの移行プロジェクトを担当。
CCNPやLPICレベル3、AWSセキュリティスペシャリストなどの資格を保有しています。