「サイバーセキュリティ基本法」「BCP」の解説
サイバーセキュリティ基本法とは?
.001-4-1024x768.jpeg)
「サイバーセキュリティ基本法」とは、サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念を定め、国の責務等を明確し、サイバーセキュリティ戦略の策定や、その他当該施策の基本事項等を規定する法律になります。
サイバーセキュリティ基本法では、以下のとおり基本理念を第3条で示しています。これらの基本理念のもとに、施策が実施されることとしています。
- 情報の自由な流通の確保を基本に、官民が連携して積極的に対応すること
- 国民1人ひとりがサイバーセキュリティに関する認識を深め、自発的な対応をすること、強靱な体制を構築すること
- 高度情報通信ネットワークの整備およびITの活用によって活力ある経済社会を構築すること
- サイバーセキュリティに関する国際的な秩序の形成等のために先導的な役割を担い、国際的協調の下に実施すること
- 国民の権利を不当に侵害しないこと
サイバーセキュリティ戦略本部では、2018年に閣議決定された「セキュリティ戦略」にて、諸施策の目標や実施方針を公表しています。このセキュリティ戦略では、「情報の自由な流通の確保」、「法の支配」、「開放性」、「自律性」、「多様な主体の連携」、「経済社会の活力の向上・持続的発展」、「国民が安全・安心して暮らせる社会」、「国際社会の平和・安全、および我が国が安全保障に寄与すること」を達成するための具体的な施策が明示されています。
サイバーセキュリティ基本法に関する問題
サイバーセキュリティ基本法は,サイバーセキュリティに関する施策に関し,基本理念を定め,国や地方公共団体の責務などを定めた法律である。記述a~dのうち,この法律が国の基本的施策として定めているものだけを全て挙げたものはどれか。
出典:令和2年度 秋期 ITパスポート試験公開問題 問25
a. 国の行政機関等におけるサイバーセキュリティの確保
b. サイバーセキュリティ関連産業の振興及び国際競争力の強化
c. サイバーセキュリティ関連犯罪の取締り及び被害の拡大の防止
d. サイバーセキュリティに係る人材の確保
ア. a
イ. a, b
ウ. a, b, c
エ. a, b, c, d
◆確認問題の解答(エ)、解説・・・解説は、次の通り。
基本的施策は、以下の11項目になります。確認問題の選択肢、a〜dは、基本的施策に全て該当するため、(エ)が正解になります。
⑴ 国の行政機関等におけるサイバーセキュリティに関して、統一的な基準の策定、情報システムの共同化、不正な活動の監視及び分析、演習及び訓練の実施(第13条)
⑵ 重要インフラ事業者等におけるサイバーセキュリティに関して、基準の策定、演習及び訓練、情報の共有その他の自主的な取組の促進(第14条)
⑶ 民間事業者及び教育研究機関等の自発的なサイバーセキュリティに対する取組の促進(第15条)
⑷ 関係府省相互間の連携の強化を図り、国、地方公共団体、重要社会基盤事業者、サイバー関連事業者等の相互連携(第16条)
⑸ サイバーセキュリティの犯罪の取締り及びその被害の拡大の防止(第17条)
⑹ 我が国の安全に重大な影響を及ぼすおそれのある事案への対応についての体制の充実強化並びに関係機関相互の連携強化(第18条)
⑺ サイバーセキュリティに関連する新たな事業の創出と産業の健全な発展及び国際競争力の強化(第19条)
⑻ サイバーセキュリティに関する研究開発及び技術等の実証の推進(第20条)
⑼ サイバーセキュリティに係る事務に従事する者の確保(第21条)
⑽ サイバーセキュリティの教育及び学習の振興、啓発及び知識の普及等(第22条)
⑾ サイバーセキュリティに関し国際的な技術協力、犯罪の取締りその他の国際協力の推進(第23条)
BCPとは?
.002-4-1024x768.jpeg)
「BCP」とは、「Business Continuity Plan(事業継続計画)」の略であり、テロや災害、システム障害など危機的状況下に置かれた場合でも、重要な業務が継続できる方策を用意し、生き延びられるようにしておくための計画のことです。
緊急事態は、突然発生します。そのため、平常時からBCPを準備し、緊急時に事業の継続・早期復旧を図ることが重要になります。
BCPの特徴として主に以下を挙げることができます。
- 優先して継続・復旧すべき中核事業を特定する
- 緊急時における中核事業の目標復旧時間を定めておく
- 緊急時に提供できるサービスのレベルについて顧客と予め協議しておく
- 事業拠点や生産設備、仕入品調達等の代替策を用意しておく
- 全ての従業員と事業継続についてコニュニケーションを図っておく
企業が大地震などの緊急事態に遭遇すると操業率が大きく落ちます。何も備えを行っていない企業は、事業の復旧が大きく遅れ、事業の縮小や、復旧できず廃業に追い込まる恐れがあります。一方、BCPを導入している企業は、緊急時でも中核事業を維持・早期復旧することができ、その後、操業率を100%に戻したり、さらには市場の信頼を得て事業が拡大したりすることも期待できます。
BCPの策定・運用にあたり、BCPの基本方針の立案と運用体制を確立し、日常的に策定・運用のサイクルを回すことが重要になります。
BCPに関する問題
全国に複数の支社をもつ大企業のA社は,大規模災害によって本社建物の全壊を想定したBCPを立案した。BCPの目的に照らし,A社のBCPとして,最も適切なものはどれか。
出典:令和2年度 秋期 ITパスポート試験公開問題 問26
ア. 被災後に発生する火事による被害を防ぐために,カーテンなどの燃えやすいものを防炎品に取り替え,定期的な防火設備の点検を計画する。
イ. 被災時に本社からの指示に対して迅速に対応するために,全支社の業務を停止して,本社から指示があるまで全社員を待機させる手順を整備する。
ウ. 被災時にも事業を継続するために,本社機能を代替する支社を規定し,限られた状況で対応すべき重要な業務に絞り,その業務の実施手順を整備する。
エ. 毎年の予算に本社建物の保険料を組み込み,被災前の本社建物と同規模の建物への移転に備える。
◆確認問題の解答(ウ)、解説・・・各選択肢の解説は、次の通り。
- ア:事業継続のための計画ではないため、不適切になります。損害を抑えるための防災施策は、防災計画やディザスタリカバリプランの一部として計画しています。
- イ:本社建物が全壊すると指令系統が停止し、本社からの連絡もままならない状況に陥ることが想定されます。よって、本社からの指示がなくても、支社が自らの判断で復旧に向けて行動できる手順を定めるべきです。
- ウ:正解です。本社建物が全壊すると本社機能が停止します。緊急時は、平常時の業務では求められない全社的な分析と意思決定が求められるため、本社が使えないことを想定し、同時に被災しない支社を代替拠点として確保することが必要です。また、被災後の状況下では、使用できる経営資源に制限があるため、優先すべき重要事業・業務を絞り込んだ上で、継続または早期復旧の手順を定めます。
- エ:本社の移転は業務が安定してから考えるべきであり、被災直後の事業継続を目的とするBCPの目的から、外れています。