情報技術の飛躍的進展と共にサイバー攻撃も進化し続けています。
サイバー攻撃は、個人のプライバシーから企業の機密情報、さらには国家の安全保障に至るまで幅広い領域に影響を及ぼす可能性があります。特にランサムウェアやフィッシング、標的型攻撃など、巧妙かつ悪質な手法が日々新たに登場しており、これらに対抗するためには、一層の警戒と対策が求められています。
このような背景の中で、2015年に施行されたサイバーセキュリティ基本法は、日本のサイバーセキュリティ対策の根幹をなすものです。この法律は、サイバーセキュリティに関する国の基本的な方針を定め、関連する施策を総合的かつ効率的に推進するための枠組みを提供しています。具体的には、情報セキュリティポリシーの策定、重要インフラの保護、国民の意識向上、そして国際協力の促進など、幅広い領域にわたる対策が盛り込まれています。
サイバーセキュリティ基本法とは?
サイバーセキュリティ基本法は、2014年に成立し2015年から施行されています。この法律は、サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念や国の責務、サイバーセキュリティ戦略を含む施策の基本となる事項を規定しています。基本理念には、情報の自由な流通の確保、官民の連携、国民一人ひとりの認識深化、ITの活用による経済社会の活力ある構築、国際的協調の実施などが含まれています。
制定された背景
サイバーセキュリティ基本法の制定背景には、グローバル規模でのサイバー攻撃の深刻化があります。
2008年に行われた北京オリンピックでは、開催期間中に1日あたり1,400万回のサイバー攻撃が行われました。次開催の2012年ロンドンオリンピックでは開催期間中に1億回を超えるセキュリティ上の問題が発生し、大規模サイバー攻撃も多発しました。
このように、サイバー攻撃が多発したことで国際安全保障や危機管理上の課題として認識されるようになりました。これらの経験から、オリンピックやその他の大規模イベントに向けて、サイバー攻撃対策の強化が求められました。
影響を与えた事例
サイバーセキュリティ基本法に影響を与えた事例としては、日本年金機構の個人情報漏えい事件やランサムウェア「Wannacry」の脅威が挙げられます。
日本年金機構 個人情報漏洩事件
2015年5月に日本年金機構で起きた個人情報漏洩事件は、フィッシングメールを通じてマルウェアが侵入し、約125万人分の氏名、基礎年金番号、生年月日、住所などの個人情報が流出した事件です。この事件は、組織内の情報管理の甘さや、事後対応の不備が原因で悪化しました。事件後、再発防止策として組織的・技術的・運用的な強化が図られましたが、組織内の情報セキュリティ意識の問題は依然として残っていました。
引用:日本年金機構における不正アクセスによる情報流出事案について
ランサムウェア「Wannacry」とは
ランサムウェア「Wannacry」は、2017年5月に世界中で猛威を振るったサイバーセキュリティの脅威です。この悪意あるソフトウェアは、Windowsオペレーティングシステムの脆弱性を悪用して、世界中のコンピューターシステムを感染させました。Wannacryは、被害者のファイルを暗号化し、復号化のための身代金をビットコインで要求するという特徴があります。この攻撃は、企業、医療機関、政府機関を含む数百万台のコンピューターに影響を与え、全世界で経済的損失を引き起こしました。
Wannacryの感染は、適切なセキュリティパッチの欠如、古いシステムの使用、またはセキュリティプラクティスの不足が原因であることが多いです。このランサムウェアの急速な拡散は、サイバーセキュリティの重要性と、定期的なソフトウェア更新やバックアップの実施など、基本的な予防措置の必要性を浮き彫りにしました。Wannacry事件は、世界中の組織に対し、サイバー攻撃への備えを強化するきっかけとなり、セキュリティ対策の強化と意識向上に大きく貢献しました。
企業や国民が行うべき対策
サイバーセキュリティ対策としては、セキュリティ対策ツールの導入、従業員のセキュリティ意識向上、パスワード管理の強化、OSやソフトウェアの最新状態の維持が挙げられます。特に、重要インフラ事業者にはサイバー攻撃への備えが義務付けられ、政府は国全体のサイバーセキュリティを向上させるために内閣サイバーセキュリティセンター(NISC)の調査対象の拡大や権限の強化を行っています。
サイバーセキュリティ基本法の適用例
サイバーセキュリティ基本法は、官公庁や重要インフラを含む幅広い分野に適用されます。例えば、国や自治体は、情報システムのセキュリティ対策の基準を設け、これに基づく審査や評価を行い、セキュリティ対策の強化を図っています。また、企業においては、サイバーセキュリティ基本法のガイドラインに従い、情報セキュリティ管理体制の構築や従業員教育、インシデント発生時の対応プロセスの策定などが推進されています。
サイバーセキュリティ基本法は、日本におけるサイバーセキュリティ対策の基盤となっています。しかし、サイバー攻撃の手法は日々進化しており、法律だけでは対応が困難な場合もあります。このため、技術の進歩に合わせた法律の改正や、国際的な連携を通じた情報共有、民間企業との協力体制の構築など、柔軟かつ継続的な取り組みが必要です。国民一人ひとりがサイバーセキュリティの重要性を認識し、日々の生活やビジネスにおいて適切な対策を講じることで、より安全な社会の実現に貢献できるでしょう。
アクトのサイバーセキュリティ対策支援
アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR(SentinelOne、Cybereason)のおまかせ運用を実現します。
アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。
また、IT導入補助金対象サービスの『データお守り隊』もご提供しております。
EDR+SOC+簡易サイバー保険をお手頃価格でパッケージしたサービスです。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。
ご興味がございましたら下記よりご確認ください。