はじめに
いろいろしべてみたのでメモです。
サイバーセキュリティ基本法とは
サイバーセキュリティ基本法は、2014年1月に施行されています。
この法律は、サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念や国の責務、サイバーセキュリティ戦略をはじめとする施策の基本となるものを規定したものです。
サイバーセキュリティ基本法の法律全文は下記から
https://elaws.e-gov.go.jp/document?lawid=426AC1000000104
こちらはあくまでも基本を示しているもので、内閣サイバーセキュリティセンター(NISC(ニスク))の活動や他の法律にゆだねられているようです。
また、基本法では、国の責務の記述以外に下記に国民についても記載がされています。「努めるものとする」とあり、努力義務です。
(国民の努力)
第九条 国民は、基本理念にのっとり、サイバーセキュリティの重要性に関する関心と理解を深め、サイバーセキュリティの確保に必要な注意を払うよう努めるものとする。
努力義務
法的拘束力のない努力義務規定は、たとえ違反した場合でも罰則を科されることはありません。ただし、努力義務違反にまったくリスクがないわけではありません。
対応を怠る、または努力義務とは正反対の行為を行った場合、努力義務違反によって被害を受けた第三者から損害賠償を請求されたり、各官庁から行政指導を受ける可能性があるので注意が必要です。
| 義務 | 「~しなければならない」 | 刑事罰や行政罰などの罰則あり |
| 配慮義務 | 「~配慮するものとする」 | 罰則などの制裁なし ただし配慮がない場合、義務違反として罰則の可能性がある |
| 努力義務 | 「~するよう努めなければならない」 | 努力を怠ったり、努力義務とは正反対のことを行った場合、努力義務違反によって被害を受けた第三者から損害賠償を請求されたり、監督官庁から行政指導を受ける可能性がある |
高度情報通信ネットワーク社会形成基本法(IT基本法)
高度情報通信ネットワーク社会形成基本法は、2001年に施行されました。
2005年には政府のIT戦略本部決定に基づき、内閣官房に情報セキュリティセンター(NISC(ニスク))が設置されてましたが、現在は、内閣サイバーセキュリティセンター(NISC)となっており略称は同じです。
その後、ウイルス感染や政府機関への標的型攻撃などが増加して、個人情報などの漏洩が増加したため、高度情報通信ネットワーク社会形成基本法(IT基本法)をもとに活用される法律として、サイバーセキュリティ基本法が施行されました。
改正について
2016年の改正
2015年に、日本年金機構の情報ネットワークに標的型攻撃が行われ、日本年金機構が保有する個人情報が流出しました。
ここで、サイバーセキュリティ戦略本部の一部事務を情報処理推進機構(IPA)などに委託できるようになりました。
IPAが運営する情報セキュリティ対策資格を持つ国家資格「情報処理安全確保支援士」が新設されました。
2018年の改正
2018年以前のオリンピック開催で多くのサイバー攻撃があり、インタネットテロがたびたび起きており、
この経緯を踏まえて2020年東京オリンピック・パラリンピックの開催に向けて、サイバーセキュリティ基本法の改正がされました。
国の行政機関や重要インフラ事業者で構成されたサイバーセキュリティ協議会の設置され、国外の事業者と連携してセキュリティを強化する体制の構築されました。
重要インフラとは(重要社会基盤事業者)、内閣サイバーセキュリティセンターが2017年に発表した計画では、情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス(地方公共団体を含む)、医療、水道、物流、化学、クレジット、石油、の14分野を重要インフラとして定義されいます。
経済産業省 重要インフラ(全14分野)
https://www.mlit.go.jp/kowan/content/001633387.pdf
動向は下記から確認できます。
内閣サイバーセキュリティセンター(NISC)
https://www.nisc.go.jp/news/list/index.html
2023年07月に重要インフラのサイバーセキュリティ関連が指針・手引書が出ています。
企業が対処する場合のガイドラインのリンク集
経団連
サイバーリスクハンドブック 取締役向けハンドブック
http://www.keidanren.or.jp/policy/cybersecurity/CyberRiskHandbook.pdf
経済産業省
サイバーセキュリティ経営ガイドラインと支援ツール
https://www.meti.go.jp/policy/netsecurity/mng_guide.html
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
経済産業省
中小企業向けガイドライン
https://www.meti.go.jp/policy/netsecurity/sme-guide.html
https://www.ipa.go.jp/security/guide/sme/about.html
他の法律の改正例
2023年4月1日、医療法施行規則改正
https://elaws.e-gov.go.jp/document?lawid=323M40000100050
2 病院、診療所又は助産所の管理者は、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)を確保するために必要な措置を講じなければならない。
訴訟リスク
重要インフラ以外の企業では、努力義務で罰則はとくにありませんが、会社法、民法で損害がでることは把握しておいた方がよいでしょう。
全く対応しておらず、問題が起きた場合は、努力義務違反になる可能性もありますし、
自社ウェブサーバーが改ざんされ、二次被害なども考えられます。また、改ざんされたことがSNSなどに拡散され、会社の評価もさがってしまう場合もあるかと思います。取締役も責任を取らされる場合もあります。
ウェブサーバーが改ざんは、改ざんされウィルスがサイト上に仕込まれ、サイトにアクセスした人に感染して、そのPCでメール、FTPアクセス情報などが漏洩するケースもあります。
CMS、お問い合わせなどシステムを導入していないからと言って、セキュリティ対策を怠っていた場合、上記の問題になる可能性があります。
詳細は上記ガイドラインに細かく記載されているので一通り読んでおいた方がよいかと思います。
また、障害者差別解消法の合理的配慮の提供が義務のアクセシビリティ対応なども罰則がないからという理由で、対応してない場合、障害者からWEBサイトが対応していないことで訴訟される可能性もあります。
実際、海外のアーティストの予約サイトもアクセシビリティ対応してないかったことで訴訟まで行っているケースもあるようです。
WEBサーバーの対応
サーバー本体
サーバーOSやミドルウェアの更新
サーバーアプリケーションの更新(wordpress,eccubeなど)
サーバーアプリケーションフレームワークの更新(phpなどのフレームワーク)
不要なアプリケーション、サービスの削除
サーバーログの取得と保管
バックアップ
定期的にセキュリティ検査(診断)
パスワード管理
サーバネットワーク
FW
IDS/IP
WAF
DDoS対策
表3「運営形態ごとに検討すべきセキュリティ対策」(ウェブサイト開設等における運営形態の選定方法に関する手引きP22)
技術的 対策
| セキュリティ対策項目 | 運用形態 | ||||||
| 区分 | 分類 | 代表的対策例 | モール ASP SaaS |
PaaS レンタルサーバ IaaS |
ハウジング | オンプレミス | |
| システム セキュリティ 対策 |
物理 | ・サーバ室 ・入退管理 |
〇 | ||||
| ネットワーク | ・FW ・IDS/IPS ・WAF ・VPN ・ウイルス対策製品 ・サンドボックス型製品 ・DDoS対策 |
△ | △ | 〇 | |||
| アプリケーション | ・改ざん検知 ・認証 ・アクセス制御 ・データ保護 |
〇 | 〇 | 〇 | |||
| 運用管理的対策 | セキュリティパッチ | ・パッチ適用 ・仮想パッチ適用 |
△アプリ | 〇 | 〇 | ||
| 監視 | ・ログ収集、分析 | △ | 〇 | 〇 | |||
| インシデント対応 | ・バックアップ ・切り分け ・抜線 |
△ | 〇 | 〇 | |||
| 人的対策 | 要員教育 | ・ポリシー教育 ・技術教育 |
△ | 〇 | 〇 | ||
| 業務 セキュリティ 対策 |
社員教育 | ・リテラシー教育 | 〇 | 〇 | 〇 | 〇 | |
| ユーザ・顧客管理 | ・ポリシー教育 ・情報取扱い規則 |
〇 | 〇 | 〇 | 〇 | ||
| コンテンツ管理 | ・コンテンツ更新ルール | 〇 | 〇 | 〇 | 〇 | ||
サイト運営者対応
○:対応の検討が必要
△:一部対応の検討が必要
△においては、各運用形態においてオプションか、対応しているのか?どうかを確認する必要があります。
一部レンタルサーバーなどは、一定期間を過ぎると、サービスを再契約しないとミドルウェアなどのバージョンアップができないものがあります。
サーバーでは、レンタルサーバー、VPSサーバー、クラウドサーバーとありますが、VPSサーバー、クラウドサーバーはフルマネージドか。セルフフルマネージドのいずれか
によって、PaaS、IaaSに分かれます。そのあたりの選定は各サーバー業者の利用規約などで確認が必要です。
引用
IPA ウェブサイト開設等における運営形態の選定方法に関する手引き
https://www.ipa.go.jp/security/technicalwatch/20180530.html
IPAリニューアルによりページリンク切れ
プレスリリースはこちら
https://www.ipa.go.jp/archive/press/2018/press20180530.html
クラウドサービス名称対応表
〇がクラウドサービスが対応する部分、未記入は自社で対応する部分
| オンプレ | IaaS | PaaS | SaaS | |
| データ | 〇 | |||
| アプリケーション | 〇 | |||
| ランタイム | 〇 | 〇 | ||
| ミドルウェア | 〇 | 〇 | ||
| OS | 〇 | 〇 | ||
| ハイパーバイザー | 〇 | 〇 | 〇 | |
| サーバー | 〇 | 〇 | 〇 | |
| ストレージ | 〇 | 〇 | 〇 | |
| ネットワーク | 〇 | 〇 | 〇 |
クラウドサービス選択
Pマークとは?
Pマークとは、プライバシーマークの通称です。
日本産業規格(JIS)に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づいて、
個人情報について適切な保護措置を講じる体制を整備している事業者などを評価するために付与されるマークのことを示します。
JIS規格はJIS Q 15001となります。
プライバシーマーク制度
プライバシーマークを付与された業者が事業活動においてプライバシーを使用することを認める制度のこと。
個人情報を適切に取り扱うことができているかどうかを審査するのは、「一般財団法人日本情報経済社会推進協会(JIPDEC)」となっています。
https://privacymark.jp/
ISMSとは?
続いては、ISMSとは何であるのかを説明します。
ISMSは、Information Security Management Systemの頭文字を並べた略語です。
日本語では「情報セキュリティマネジメントシステム」という意味になります。
ISMSの認証規格
ISMSの要求事項を満たしていることを証明するには、第三者機関の審査によって認められた証明「認証規格」を取得します。
ISMSの認証規格としてはISO / IEC 27001、JIS Q 27001となります。
https://isms.jp/
ISMSマークのあるサービスを選択しましょう
Pマークは、契約時登録した個人情報をきちんと管理しますよっていう程度で、クラウドサービス上に自社が登録した個人情報までは管理してくれません。
サービス利用時、範囲を確認されたほうがよいでしょう。
ISMSは、Pマークの上位にあたり、クラウドサービスのセキュリティの対策(クラウドOSバージョンアップ)など対応してもらえます。こちらも契約時登録した個人情報をきちんと管理してもらえます。こちらもクラウドサービス上に自社が登録した個人情報までは管理してもらえないです。
サービス利用時、範囲を確認されたほうがよいでしょう。
基本どのサービスも個人情報は、自社で管理する必要があります。
なので、クラウドサービスを利用時は、ISMSのマークがあるサービスを選定するのがよいかと思います。クラウドサービス選定ではPマークは特に意識しなくてもよいです。
また、下記の選定時に必要な制度などがあるので一読されるとよいと思います。
クラウドサービス選択時に参考となる制度等
クラウドサービス事業者が適切なデータ保護やセキュリティ対策を実施していることをマークとして表示する制度があります。いずれもURL記載のページ内でそれぞれの条件を満たすサービスが紹介されており、選定時の参考として利用することができます。
●ISMSクラウドセキュリティ認証
(一般社団法人情報マネジメントシステム認定センター)
https://isms.jp/isms.html
ISMS(Information Security Management System。ISO/IEC27001)認証に加えて、クラウド
サービス固有の管理策(ISO/IEC 27017)が適切に導入、実施されていることを認証するものです。
●クラウド情報セキュリティ監査制度
(特定非営利活動法人日本セキュリティ監査協会)
https://jcispa.jasa.jp/cloud_security/
クラウドサービス事業者が基本的な要件を満たす情報セキュリティ対策を実施していることを監査し、
その結果をCSマークの表示許諾を通じて利用者に対し、安全性が確保されていることを公開する
制度です。外部監査と内部監査で「ゴールド」と「シルバー」の2種類があります。
●クラウドサービスの安全・信頼性に係る情報開示認定制度
(一般社団法人日本クラウド産業協会(ASPIC))
https://www.aspicjapan.org/nintei/
クラウドサービスの利用を考えている企業や地方公共団体などが、事業者やサービスを比較、評価、
選択する際に必要な「安全・信頼性の情報開示基準を満たしているサービス」を認定するものです。
●ISMAP 政府情報システムのためのセキュリティ評価制度
https://www.ismap.go.jp/csm
ISMAP(Information system Security Management and Assessment Program: 通称、
ISMAP(イスマップ))は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・
登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もって
クラウドサービスの円滑な導入に資することを目的とした制度です
引用
中小企業の情報セキュリティ対策ガイドライン第3.1版 p41
サーバー管理者
まず、自社にサーバーが管理できる人材がいるか、いないかで管理が異なります。
自社にサーバー管理者がいない場合は、クラウドサービスなどを利用するのが良いと思います。
1.例えば、VPSサーバーなどでWordpressなど運用する場合は、
サーバーOSのバージョンアップ
Wordpressバージョンアップ
アカウント管理
サーバーログの監視
FWなどの設定の見直しなどが必要になります。
2.レンタルサーバーでWordpressを運用する場合は、
Wordpressバージョンアップ
レンタルサーバーのアップグレード対策
アカウント管理
サーバーログの監視
クラウドサービスのCMSを利用することで上記の作業をクラウドサービスに任せておけば大丈夫になります。
自社にサーバーが管理できる人材がいない場合は、クラウドサービスを利用するのがよいでしょう。
また、上記のバージョンアップ、管理を制作会社など委託する場合では月3万から10万程度かかる場合もあります。
なるべく、自社でなにができるのかを整理するのがよいでしょう。。。
対応としては、レンタルサーバーで静的ページのみにしてお問い合わせが外部サービスなど利用する。新着機能有無・お問い合わせ外部を検討する
中小企業向けガイドラインでは、責任分担と連絡体制の整備の部分で責任分担を明確にしましょう的な記載があります。
さいごに
現状としては。大手だけ対応していても、中小のホームページが改ざんされ、そこからウィルスが拡散されてしまっては、あまり意味がないってところかと・・
