サイバーセキュリティ基本法成立で、国の取り組みも本格化

　2015年1月9日、「サイバーセキュリティ基本法」が全面施行された。「基本法」とあるように、本法はサイバーセキュリティの基本理念を定め、サイバーセキュリティに対する国の基本方針を示したものだ。この法律が施行された背景について、日立システムズ サイバーセキュリティリサーチセンタ 主任技師 大森雅司氏は次のように説明する。

「まず、情報セキュリティとサイバーセキュリティの違いを把握しておく必要があります。情報セキュリティは、あくまでデータに着眼したセキュリティであり、データを外部に漏らさない、壊されない、改ざんされないという視点のセキュリティモデルです。一方、今日のサイバーセキュリティは、影響範囲が、外交や安全保障、知財、経済など、より広い分野にまで波及する問題となっています。欧米では、数年前に同様の法律が制定されていますので、ようやく日本もそれに追いついたことになります」

　同法では、内閣官房の下に「サイバーセキュリティ戦略本部」を設置することを定めており、今後は政府主導によるサイバーセキュリティ戦略立案の動きが活発化するだろう。

　金融や鉄道、電力などの重要インフラ事業を展開する企業は、自社のビジネスだけでなく、安全操業を阻害する要因に直結するだけに、こうしたセキュリティ脅威の動向に十分注意する必要がある。一方で、一般企業の多くは「あくまで国の動きで自社との直接的な関係は薄い」と感じるかもしれない。しかし、国と個々の企業が置かれている状況がともに危機的であることは、実は同じなのである。

ここ数年で大きく悪化した日本のセキュリティ環境

　数年前まで、日本はウイルス感染率では、比較的安全な国と考えられていた。日本語の壁もあり、海外の手法が日本でそのまま使えないこともあったが、現在では、こうした常識は完全に崩れていると、大森氏は指摘する。

「以前は、最新のOS、アプリケーションを導入し、最新のセキュリティ更新プログラムを適用したうえで、変なメールは開かない、怪しいサイトにはアクセスしない、という対策である程度は防げました。しかし、最近の標的型攻撃では、攻撃者は入念な下調べをしたうえで攻撃を仕掛けます。具体的には、会社の取引先や人間関係を調べ上げ、まったく不自然ではないメールを送りつけて侵入するのです。日本だけを狙った攻撃も増えており、たとえば、年末調整の時期に合わせて健康保険の問い合わせを装ったメールを送りつけ、侵入を試みた例も報告されています」

　いったん侵入を許してしまうと、攻撃者がアドバンテージを握ってしまい、社内の機密情報が盗まれてしまう危険性が高くなる。たとえば、研究開発の情報を盗まれたら、他社に市場そのものを奪われる可能性がある。個人情報の漏えいがもたらすインパクトも、多くの事件・事故で実証済みだ。特別損失という財務上のインパクトはもちろん、その後の訴訟リスク、企業ブランドの毀損は大きい。特に“メガリーク”と呼ばれる大量データの漏えいは、経営そのものを直撃する。企業にとってサイバーセキュリティは、経営課題そのものなのである。

【次ページ】注目されるCSIRT、体制構築のポイントは？