このページでは、サイバーセキュリティ基本法の概要や、民間企業に求められるサイバーセキュリティ対策について紹介します。
サイバーセキュリティ基本法とは、サイバーセキュリティに関する施策や基本事項を定めた法律です。2014年に可決、翌年より施行された法律で、サイバーセキュリティ対策・施策の推進を目的としており、基本理念を定めると同時に国の責務などを規定しています。
サイバー攻撃は年を追うごとに高度化・複雑化しており、民間レベルでも高度なセキュリティ対策が不可欠になっています。サイバーセキュリティ基本法は、国民のサイバーセキュリティに関する理解の促進を基本理念にしており、自発的な対応と強固なセキュリティの構築を求めています。
経済的な損失・被害を抑えるためにも欠かせないセキュリティ対策。民間企業においても、以下のような自発的な対策が求められています。
まず取り組むべきは、社員のセキュリティに対するリテラシーの向上です。高度なサイバー攻撃へ備えるには、組織全体でセキュリティ対策を推進しなくてはいけません。そのために欠かせないのが社員の意識改革であり、セキュリティ教育や研修を通して、サイバー攻撃のリスクやデータ保護・管理の手法などを学んでもらう必要があります。
セキュリティインシデントが発生した際に、迅速に対応する体制の構築も必要です。外部からの攻撃や不正アクセスは、いつ・どこで起きるか分かりません。不測の事態に備えるためには、リアルタイムでシステム・ネットワークを監視できる仕組みを整備し、インシデント発生時に対応する組織を作ることが求められています。
サイバー攻撃への対策ルールやマニュアルの整備も不可欠といえるでしょう。ルールを定めてマニュアル化すれば、インシデント発生時にも適切な対応が可能になります。なお、ルールなどを策定したら社員へ共有し、内容の周知徹底を行いましょう。
自社のセキュリティの現状を把握するために、脆弱性診断の実施も検討しましょう。専用ツールや外部のサービスを使ってネットワークやシステムの弱点を洗い出し、適切な対策を実施する必要があります。
経営層、CISO、戦略マネジメント層、システム担当者などが連携し、組織全体で取り組むことが求められています。自然災害やサイバー攻撃などのリスクに迅速かつ適切に対応し、重要インフラの継続的な運用を確保することが目的です。リスクマネジメントを活用した事前対応と危機管理を組み合わせ、重要インフラサービスの持続的提供を確保します。
重要インフラ事業者が自組織に最適な防護対策を実施できるよう、安全基準の策定と普及が推進されています。安全基準等には、関係法令に基づく「強制基準」、国が推奨する「推奨基準」、「ガイドライン」、業界団体が策定する「業界標準」、事業者が独自に設定する「内規」が含まれています。リスク評価や監査、演習を通じて安全基準等を継続的に見直すという取り組みです。
重要インフラ事業者や政府機関、民間企業間の連携を深め、サイバー脅威に対する迅速かつ効果的な対応を目指しています。「サイバー攻撃やシステム障害に関する情報を収集・分析し、重要インフラ事業者や関係機関間で共有」「政府内での情報連絡体制を整備し、重要インフラ事業者から提供された情報を所管省庁や内閣サイバーセキュリティセンター(NISC)に伝達」といった取り組みです。
重要インフラ事業者が自組織の特性を踏まえたリスクアセスメントを実施し、適切な防護対策を講じる取り組みです。自然災害やサイバー攻撃などのリスクを特定・分析し、許容範囲内に抑えることで、重要インフラの安全かつ持続的な提供を確保します。また、経営層からシステム担当者までが連携し、組織全体でリスク管理体制を構築することが求められます。
重要インフラや社会全体のセキュリティを底上げするための取り組みです。分野横断的演習の推進、国際連携の推進、広報公聴活動の推進等の取り組みによって、サイバーセキュリティ全体の底上げを目指します。
サイバーセキュリティ基本法は、サイバーセキュリティに関する基本事項をまとめており、民間に自発的な対応を求めています。企業においても、同法の基本的なガイドラインに沿った対応や、インシデントに対応できる体制の構築が必要です。
当サイトは、サイバーセキュリティ研修を受ける対象者別におすすめの研修会社をまとめた専門サイトです。技術者向け、マネジメント層向け、経営層向けに会社をピックアップしているのでぜひ参考にしてください。
経産省の資料では、サイバーセキュリティに関する組織体制において、IT、デジタル部門の開発、運営者・事業部門などの「実務者・技術者層」、セキュリティ部門・監査部門などの「戦略マネジメント層」、取締役・執行役員などの「経営層」、の3つに分類され、必要なスキルや具体的にやるべきこと(タスク)が定義されています。
該当の対象者に向けた研修を展開しているおすすめの会社を合わせて見られるようにしているので、検討している受講者の欄からご覧ください。

CompTIA CASP+やCySA+など上位資格を学べる研修ラインナップ。CompTIAプラチナパートナーとして上位資格を一気通貫で学べる国内数少ない会社です。
実務や技術者が仮想空間で手を動かしながら実践的にスキルを習得できる点が特徴です。
CompTIA(Pentest+、CASP+、CySA+他)、EC-Council(CEH、CCT他)、ICT(OT)、SecuriST、インシデント対応、ペネトレーションテスト、フォレンジック など

セキュリティ事故などインシデント対応者に必要な知識を学べる専用プログラムが特徴。
基礎的な知識から、デジタルフォレンジックやマルウェア解析など専門技術を内製できる企業向けにもコースを展開しています。
インシデントレスポンス、マルウェア解析、セキュリティオペレーション、デジタルフォレンジック、脆弱性ハンドリング、情報セキュリティ事故対応 など

企業のリスクマネジメントを支援するコンサルティング業務を主軸としており、企業経営の推進力を高めるリスクマネジメント力が身に着く研修を提供しています。
経営層向けだけで3段階のコースを展開し、着実なステップアップができます。
経営層向けサイバーセキュリティ対応能力向上、CSIRT構築、情報セキュリティ入門、組織サイバーレジリエンス力向上 など