サイバーセキュリティ研修委託ガイド│セキュケン
サイバーセキュリティ研修委託ガイド│セキュケン » サイバーセキュリティ担当者がおさえたいトレンド・知識 » サイバーセキュリティ基本法とは

サイバーセキュリティ基本法とは

このページでは、サイバーセキュリティ基本法の概要や、民間企業に求められるサイバーセキュリティ対策について紹介します。

目次

サイバーセキュリティ基本法とは

サイバーセキュリティ基本法とは、サイバーセキュリティに関する施策や基本事項を定めた法律です。2014年に可決、翌年より施行された法律で、サイバーセキュリティ対策・施策の推進を目的としており、基本理念を定めると同時に国の責務などを規定しています。

サイバー攻撃は年を追うごとに高度化・複雑化しており、民間レベルでも高度なセキュリティ対策が不可欠になっています。サイバーセキュリティ基本法は、国民のサイバーセキュリティに関する理解の促進を基本理念にしており、自発的な対応と強固なセキュリティの構築を求めています。

民間企業に求められる
サイバーセキュリティ

経済的な損失・被害を抑えるためにも欠かせないセキュリティ対策。民間企業においても、以下のような自発的な対策が求められています。

社員のセキュリティ意識の向上

まず取り組むべきは、社員のセキュリティに対するリテラシーの向上です。高度なサイバー攻撃へ備えるには、組織全体でセキュリティ対策を推進しなくてはいけません。そのために欠かせないのが社員の意識改革であり、セキュリティ教育や研修を通して、サイバー攻撃のリスクやデータ保護・管理の手法などを学んでもらう必要があります。

インシデントに対応する体制の構築

セキュリティインシデントが発生した際に、迅速に対応する体制の構築も必要です。外部からの攻撃や不正アクセスは、いつ・どこで起きるか分かりません。不測の事態に備えるためには、リアルタイムでシステム・ネットワークを監視できる仕組みを整備し、インシデント発生時に対応する組織を作ることが求められています。

対策ルール・マニュアル整備と
周知の徹底

サイバー攻撃への対策ルールやマニュアルの整備も不可欠といえるでしょう。ルールを定めてマニュアル化すれば、インシデント発生時にも適切な対応が可能になります。なお、ルールなどを策定したら社員へ共有し、内容の周知徹底を行いましょう。

脆弱性の確認や改善策の実施

自社のセキュリティの現状を把握するために、脆弱性診断の実施も検討しましょう。専用ツールや外部のサービスを使ってネットワークやシステムの弱点を洗い出し、適切な対策を実施する必要があります。

サイバーセキュリティ基本法に基づく行動計画の主な取り組み

障害対応体制の強化

経営層、CISO、戦略マネジメント層、システム担当者などが連携し、組織全体で取り組むことが求められています。自然災害やサイバー攻撃などのリスクに迅速かつ適切に対応し、重要インフラの継続的な運用を確保することが目的です。リスクマネジメントを活用した事前対応と危機管理を組み合わせ、重要インフラサービスの持続的提供を確保します。

安全基準等の整備及び浸透

重要インフラ事業者が自組織に最適な防護対策を実施できるよう、安全基準の策定と普及が推進されています。安全基準等には、関係法令に基づく「強制基準」、国が推奨する「推奨基準」、「ガイドライン」、業界団体が策定する「業界標準」、事業者が独自に設定する「内規」が含まれています。リスク評価や監査、演習を通じて安全基準等を継続的に見直すという取り組みです。

情報共有体制の強化

重要インフラ事業者や政府機関、民間企業間の連携を深め、サイバー脅威に対する迅速かつ効果的な対応を目指しています。「サイバー攻撃やシステム障害に関する情報を収集・分析し、重要インフラ事業者や関係機関間で共有」「政府内での情報連絡体制を整備し、重要インフラ事業者から提供された情報を所管省庁や内閣サイバーセキュリティセンター(NISC)に伝達」といった取り組みです。

リスクマネジメントの活用

重要インフラ事業者が自組織の特性を踏まえたリスクアセスメントを実施し、適切な防護対策を講じる取り組みです。自然災害やサイバー攻撃などのリスクを特定・分析し、許容範囲内に抑えることで、重要インフラの安全かつ持続的な提供を確保します。また、経営層からシステム担当者までが連携し、組織全体でリスク管理体制を構築することが求められます。

防護基盤の強化

重要インフラや社会全体のセキュリティを底上げするための取り組みです。分野横断的演習の推進、国際連携の推進、広報公聴活動の推進等の取り組みによって、サイバーセキュリティ全体の底上げを目指します。

参照元:国土交通省PDF( https://www.mlit.go.jp/kowan/content/001633387.pdf

自発的な対応や体制構築が必要

サイバーセキュリティ基本法は、サイバーセキュリティに関する基本事項をまとめており、民間に自発的な対応を求めています。企業においても、同法の基本的なガイドラインに沿った対応や、インシデントに対応できる体制の構築が必要です。

当サイトは、サイバーセキュリティ研修を受ける対象者別におすすめの研修会社をまとめた専門サイトです。技術者向け、マネジメント層向け、経営層向けに会社をピックアップしているのでぜひ参考にしてください。

対象者別に選べる
サイバーセキュリティ研修会社3選

   

サイバーセキュリティ研修会社
おすすめ3選

経産省の資料では、サイバーセキュリティに関する組織体制において、IT、デジタル部門の開発、運営者・事業部門などの「実務者・技術者層」、セキュリティ部門・監査部門などの「戦略マネジメント層」、取締役・執行役員などの「経営層」、の3つに分類され、必要なスキルや具体的にやるべきこと(タスク)が定義されています。

該当の対象者に向けた研修を展開しているおすすめの会社を合わせて見られるようにしているので、検討している受講者の欄からご覧ください。

エンジニア向け
模擬攻撃を仮想環境で体験
“即戦力”を鍛えたいなら
Top Out Human Capital
Top Out Human Capital公式
画僧引用元:Top Out Human Capital公式
(https://www.topout.co.jp/)
研修の特徴

CompTIA CASP+やCySA+など上位資格を学べる研修ラインナップ。CompTIAプラチナパートナーとして上位資格を一気通貫で学べる国内数少ない会社です。
実務や技術者が仮想空間で手を動かしながら実践的にスキルを習得できる点が特徴です。

対応する資格・コースの一例

CompTIA(Pentest+、CASP+、CySA+他)、EC-Council(CEH、CCT他)、ICT(OT)、SecuriST、インシデント対応、ペネトレーションテスト、フォレンジック など

公式HPで
コースや内容を見る

当サイトで
この会社の詳細を見る

マネジメント層向け
インシデント発生時の対応方法を
実践的に体験したいなら
ラック
ラック公式
画僧引用元:ラック公式
(https://www.lac.co.jp/service/education/)
研修の特徴

セキュリティ事故などインシデント対応者に必要な知識を学べる専用プログラムが特徴。
基礎的な知識から、デジタルフォレンジックやマルウェア解析など専門技術を内製できる企業向けにもコースを展開しています。

対応する資格・コースの一例

インシデントレスポンス、マルウェア解析、セキュリティオペレーション、デジタルフォレンジック、脆弱性ハンドリング、情報セキュリティ事故対応 など

公式HPで
コースや内容を見る

当サイトで
この会社の詳細を見る

経営者向け
セキュリティで企業価値を守る
経営者に必要な講座なら
ニュートン・コンサルティング
ニュートン・コンサルティング公式
画僧引用元:ニュートン・コンサルティング公式
(https://www.newton-consulting.co.jp/)
研修の特徴

企業のリスクマネジメントを支援するコンサルティング業務を主軸としており、企業経営の推進力を高めるリスクマネジメント力が身に着く研修を提供しています。
経営層向けだけで3段階のコースを展開し、着実なステップアップができます。

対応する資格・コースの一例

経営層向けサイバーセキュリティ対応能力向上、CSIRT構築、情報セキュリティ入門、組織サイバーレジリエンス力向上 など

公式HPで
コースや内容を見る

当サイトで
この会社の詳細を見る

サイバーセキュリティ研修を受ける
対象者にあった
研修会社の選び方