サイバーセキュリティとは？基礎知識や対策の必要性、ガイドラインについて

近年、サイバー攻撃のリスクは増加傾向にあります。サイバー攻撃から企業や顧客を守るためにはサイバーセキュリティへの理解と対策が必要ではありますが、最初は何をすれば良いのか、わかりにくいものです。そのため、まずは基本的な知識を積み重ねていくことが肝要です。この記事では、サイバーセキュリティについての基礎知識や対策の必要性と、サイバーセキュリティに関する法律・ガイドラインをまとめました。

サイバーセキュリティの一般的な意味は、情報の機密性や完全性、可用性を確保することです。機密性、完全性、可用性は情報資産を管理するための3要素で、これらを守ることが情報管理につながっています。
　・機密性：許可されたものだけが情報にアクセスできること
　・完全性：情報が正確であり、不正に改ざん・破壊がされないこと
　・可用性：アクセスを許可された人が、必要な時にいつでもデータを利用できること

またマルウェアの感染や不正アクセス、それらによる情報漏えいなど、セキュリティ上の脅威となることを「セキュリティインシデント」といいます。

サイバーセキュリティ対策が必要な理由

多くの企業・組織では、職場の危険性の特定やリスクの見積もり、リスクを低減させるためのリスクアセスメントとその対策を講じていることでしょう。サイバーセキュリティに関しても、それらのリスクアセスメントと同様に考慮することが必要です。

企業や組織には、営業秘密や個人情報などの情報資産があります。それらが流出すると、業務が停止する恐れがあり、企業経営にまで大きな損害を及ぼす可能性があります。また取引先や顧客からの信頼も失うことになるでしょう。システムの規模によっては、業務や情報システムの停止で企業や組織だけでなく、社会的に影響を与えるケースもあります。

企業・組織のセキュリティ対策には、具体的な対策の検討はもちろんのこと、情報管理部門や経営層、一般の社員まで、事業に関わるすべての人がセキュリティ意識を持つことが必要となります。

セキュリティ対策が不足すると、セキュリティインシデントが発生する可能性があります。どのようなことが起きるのか、2022年に起きたセキュリティ事故の事例をご紹介します。

ランサムウェアによる攻撃

ある地方の病院で、ランサムウェアが情報システムへ侵入、電子カルテや病院内LANが使用不能となる被害が発生。このサイバー攻撃を受けて病院では、電子カルテが使えないために新規の外来患者や救急患者を一時受け付けられない事態となりました。情報システムが再開するには2日間を要しました。

サプライチェーン攻撃

サプライチェーンとは、原料調達から製造、物流、販売までの一連の流れ及びこの流れに関わる企業や組織のことを指します。
自動車部品を製造するある企業がランサムウェア被害を受け、自動車部品を製造できなくなりました。この企業は国内有数の大手自動車メーカーのサプライチェーンとして取引があったため、そのメーカーの製造にまで影響を及ぼし、一時操業停止となりました。

機器の脆弱性を利用した攻撃

ある仮想化ソフトウェア製品に脆弱性があり、この製品を利用した人のコンピュータで情報漏えいやランサムウェア感染の被害が起きました。悪意ある第三者が、機器の脆弱性を悪用して、利用者の情報を得ていたのです。

各事例の詳細は以下の記事で詳しく紹介しています。

参考コラム：2022年はどんなセキュリティ事故が起きた？被害事例をご紹介

サイバー攻撃は起こってからでは影響が大きいため、「未然に防ぐ」ことが何より大切です。そのためにまずは、サイバーセキュリティに関する法律から学んでいきましょう。

サイバーセキュリティ基本法

サイバーセキュリティ基本法は、サイバーセキュリティに関する基本理念を定めた法律です。サイバーセキュリティに関する施策を総合的・効率的に推進することを目的としており、国や一般事業者にいたるまでの責務を明らかにしています。あくまでサイバーセキュリティ戦略・施策の策定の基本となる事項を示したものです。
サイバーセキュリティ基本法は、サイバーセキュリティの情勢を踏まえてたびたび改正が行われています。この法律では一般事業者に対する言及がなされており、事業者側としては国全体のセキュリティレベルを引き上げるためにも法律に準拠する必要があります。

参考：サイバーセキュリティ基本法｜e-Gov法令検索
https://elaws.e-gov.go.jp/document?lawid=426AC1000000104

不正アクセス行為の禁止等に関する法律

「不正アクセス行為の禁止等に関する法律」は、不正アクセスの行為そのものや行為につながる・助長する行動を禁止する法律です。サイバー攻撃を行う人を罰するための法律で企業に直接関係がないように見えますが、サイバー攻撃は外部からだけではなく内部不正も起こりえます。どのような行為が不適切なのか、企業内のすべての人が把握しておくことが必要です。

参考：不正アクセス行為の禁止等に関する法律｜e-Gov法令検索
https://elaws.e-gov.go.jp/document?lawid=411AC0000000128

特定電子メールの送信の適正化等に関する法律

「特定電子メールの送信の適正化等に関する法律」は、利用者に広告・宣伝・勧誘などの内容の電子メールを送信する際の規定を定めた法律です。利用者の承諾を得ずにメールを送信したり、送信者情報を偽ったりした場合には、違反となります。特に広告・宣伝に関わる事業を有する企業は、知らずに加害側に回らないよう、必ず知っておきたい法律です。

参考：特定電子メールの送信の適正化等に関する法律｜e-Gov法令検索
https://elaws.e-gov.go.jp/document?lawid=414AC0100000026

その他

その他にも、刑法、著作権法、電気通信事業法などの法律も、サイバーセキュリティに関わります。

また政府や省庁からは、サイバーセキュリティに関するガイドラインが提示されています。サイバーセキュリティについて何から取り組めば良いかわからない場合は、公的なガイドラインを参考に対策を検討してみましょう。

経済産業省　サイバーセキュリティ経営ガイドライン

経済産業省のサイバーセキュリティ経営ガイドラインでは、経営者の主導のもと、組織的なサイバーセキュリティ対策を実践するための指針を定めています。記載されているものの例としては、経営者が認識しておくべき原則やセキュリティ対策の重要な項目があります。

参考：サイバーセキュリティ経営ガイドライン｜経済産業省
https://www.meti.go.jp/press/2022/03/20230324002/20230324002-1.pdf

経済産業省　中小企業のサイバーセキュリティ対策

中小企業向けのサイバーセキュリティ対策として、経済産業省にガイドラインがまとめられています。ガイドラインは独立行政法人　情報処理推進機構（IPA）にて公開されており、「経営者編」と「管理実践編」に分けて、実施すべき事項が解説されています。

参考：中小企業のサイバーセキュリティ対策｜経済産業省
https://www.meti.go.jp/policy/netsecurity/sme-guide.html

デジタル庁　セキュリティに関するドキュメント

デジタル庁（内閣）では、デジタル社会推進標準ガイドラインを公開中です。もともと政府情報システムに関するドキュメントという位置づけで各ドキュメントにも「政府情報システム」と名がついていますが、現在では政府情報システムだけでなく社会全体のデジタル化を推進するという観点も踏まえたドキュメントとなっています。セキュリティに関しては、ゼロトラストや常時リスク診断・対処（CRSA）システムに関するドキュメントがあります。

参考：デジタル社会推進標準ガイドライン｜デジタル庁Web
https://www.digital.go.jp/resources/standard_guidelines/

ここまでで、サイバーセキュリティの基本知識をご紹介しました。サイバーセキュリティ対策をこれから行う場合や見直しを検討している場合、知識の習得と並行して「現状把握」が非常に重要です。自社のWebサイトのセキュリティ強度がどれくらいかを知っておくことで、今後実施すべきセキュリティ対策が明確になります。

アクセリアの「パケットキャプチャ型セキュリティレポートサービス」では、サイバー攻撃で狙われやすい脆弱な通信・アプリケーションを把握し、サイバー攻撃の検知をします。社内のセキュリティ推進に特化し、現状の具体的なリスクをレポート。専門家による多角的な分析で、セキュリティ対策の実施方針決定をサポートします。

アクセリアが企業の現状に合わせたサイバーセキュリティ対策をサポートします。詳しくは下記ページをご参照ください。

▶パケットキャプチャ型セキュリティレポートサービス

サイバーセキュリティについて基本となる事項をご紹介しました。法律やガイドラインは、情勢に応じて改正・改良が行われています。今後も最新情報を把握していきましょう。