日本年金機構などの公的機関への相次ぐサイバー攻撃を受けて、政府は対策の強化を急いでいる。2016年2月2日に「サイバーセキュリティ基本法」の改正法案を閣議決定し、国会に提出した(関連記事:サイバー法改正案が閣議決定、「情報処理安全確保支援士」新設へ)。開会中の通常国会での成立を目指す。
改正法のポイントは、政府のサイバーセキュリティー対策の司令塔の役割を担う内閣サイバーセキュリティセンター(NISC)の守備範囲の拡大である(図1)。
現行のサイバー基本法で守備範囲と定める中央省庁と独立行政法人に加え、一部の特殊法人・認可法人を対象とする。独立行政法人に関しては従来の「監査」に、「原因究明調査」と「監視業務」を加えて対応を強化する。
改正法では、対象となる特殊法人・認可法人をサイバーセキュリティ戦略本部(本部長は内閣官房長官)が指定する。ただし改正サイバー法の成立後にまず、対象に指定するのは日本年金機構のみとなる見込みだ。法改正自体に、昨年発生した年金情報流出事件が残した“宿題”を解決する狙いがあるからだ。
“守備範囲外”だった年金機構
100万件を超える年金情報を流出させた同事件は、年金機構が初期に適切な対応をしていれば、これほど被害が拡大しなかったとみられる(関連記事:日本年金機構にサイバー攻撃、ファイル共有サーバーから125万件の年金情報が流出)。実際の流出が起こる前に、NISCの監視機能を担う「政府機関情報セキュリティ横断監視・即応調整チーム(GSOC)」が、年金機構からの複数回にわたる不正な通信を、厚生労働省のネットワーク経由で検知していたからだ。
しかし年金機構はNISCの注意喚起に対して適切な対応を取らなかった。これが年金情報流出という最悪の結果につながった。年金機構は厚労省所管の特殊法人であるため、“守備範囲外”でNISCが直接対応できず、厚労省を通じての注意喚起しかできなかった。
こうした経緯は、サイバー法が規定する「重大な事象に対する施策の評価」の第1号としてNISCが取りまとめた報告書でも公表された(関連記事:敵に手の内をさらして大丈夫? NISCの年金機構事件報告書を読み解く)。
