Japan
サイト内の現在位置
サイバーセキュリティのグループガバナンスに関する指針について
NECセキュリティブログ2026年7月10日
昨今の複数の企業やサービス、プラットフォームをまたいだセキュリティインシデントの増加をうけ、調達先や取引先企業に対するサイバーセキュリティのリスク評価や対策実装がより一層重要となってきています。
特に事業のサプライチェーン全体を通したセキュリティ対策は現在注目を集めていますが、ビジネス内容の結びつきや会社間の関係の面で自社のグループ企業へのサイバーセキュリティに関するガバナンスはサプライチェーンセキュリティとは異なる一面を持っていると考えられます。
本ブログでは、主要な公開情報からグループ企業へのセキュリティガバナンスに関する項目を収集し、ガバナンスの指針に関して考察します。
目次
- 1. セキュリティガバナンスに対する近年の要求
- 2. グループ会社とサプライチェーン企業の違い
- 3. グループ会社へのセキュリティガバナンスに関する情報の収集
- 3.1. グループガバナンス全般に関する情報 (1)コーポレートガバナンス・コード
- 3.2. グループガバナンス全般に関する情報 (2)経済産業省のガイドライン
- 3.3. サイバーセキュリティに関するガバナンスの情報 (1)サイバーセキュリティ経営ガイドライン Ver3.0
- 3.4. サイバーセキュリティに関するガバナンスの情報 (2)NIST CSF 2.0
- 3.5. セキュリティに関するガイドラインに記載のグループガバナンスの情報 (1)NIST, SP 800-37 Rev.2
- 3.6. セキュリティに関するガイドラインに記載のグループガバナンスの情報 (2)NIST, SP 800-161 Rev.1
- 3.7. 収集した情報のまとめ
- 4. NECグループにおける取り組み例のご紹介
- 5. まとめ
セキュリティガバナンスに対する近年の要求
ITシステムはクラウドサービスの利用をはじめとした構成要素の増加に伴って複雑化してきており、セキュリティインシデントの発生につながる要因は多岐に渡るようになりました。自組織の他にも、利用している製品やサービスのプロバイダ、事業の委託先や調達先といった複数の主体が企業活動の様々な面で関わっているため、昨今のインシデントではこれら複数企業をまたいだ事例が頻発しているのもご存じの通りだと思います。こういった背景から近年はセキュリティ活動の重要項目としてサプライチェーンリスクへの対応が注目を浴びており、NIST, SP 800-161 Rev.1
[1]などのガイドラインの発行やサプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)
[2]などの認証・評価制度の整備が活発化してきています。
サプライチェーン企業をはじめとする自社との関わりのある企業群の中で、最も自社に近い立ち位置の一つと考えられるのは自社のグループ会社です。これらの企業をサプライチェーン企業の一種と位置付けてセキュリティ対策の実現を整理しているガイドラインも多いですが、後述の通り複数の観点でグループ会社と自社の関係はサプライチェーン企業とのそれとは異なっています。このような違いに着目した場合、グループ会社へのセキュリティガバナンスにサプライチェーン企業と全く同じ方針を適用することは実効性や効果の面から必ずしも適切ではないと考えられます。その一方でグループ会社へのセキュリティガバナンス方針を明示した公開情報は、昨今のサプライチェーンセキュリティに関するガイドライン等と比してまとめられたものは見当たらず散逸しているように見受けられます。そこでグループ会社への有効なセキュリティガバナンス活動の実現のため、これらの情報を可能な限り収集し、考察を行いたいと思います。
グループ会社とサプライチェーン企業の違い
以下、グループ会社は子会社を念頭に置いたものとします。
まず、グループ会社とサプライチェーン企業の立ち位置がどのように異なるかを整理したいと思います。サイバーセキュリティに関連した事項に限らず広く企業活動に関わる議論となるため複数の切り口が考えられますが、グループガバナンスといった観点では表1のような項目で整理ができます。
| グループ会社 | サプライチェーン企業 | |
| 資本関係 | 親会社が議決権を保有している 連結決算の対象となる |
独立した別法人である 資本関係は通常なく、取引関係による結びつきが強い |
| 法的責任 | グループとしての連帯責任を問われる場合がある | 原則として独立した法人としての責任 (ただしESG経営やサプライチェーンデューデリジェンスでは、人権や環境問題に一定の責任を負う可能性がある) |
| リスク管理 | 直接的な関与が可能 | リスク管理は要請・支援の形が主 |
サプライチェーン企業と自社との関係は取引関係に強く依存しているとまとめることができます。独立した企業であるという立場なので企業活動へのガバナンスという形で自社からアプローチを行うということは難しいと考えられます。代わりに事業単位での取引の締結という形での関係が強く、サイバーセキュリティ対策に関してはガイドラインへの準拠や認証制度の取得といった基準が契約の要件に関わってきます。日本においてもSCS評価制度の新設
[2]などは注目のトピックと言えます。
グループ会社については、(親会社に対応する)自社が議決権を保有しているため、ガバナンスにおいてはより直接的な関与が可能となります。この裏返しとして、インシデント等の発生時にはグループ全体としての責任を問われる可能性も考えられます。
また、グループ会社は企業間の関係性が契約と直接結びついていたサプライチェーン企業の場合とは異なり、グループ全体で見た時に事業内容の幅が広くなる、あるいは自社のビジネスとは異なる領域での事業を担う企業もグループに含まれる可能性があるということになります。すなわち、自社からより強いガバナンスを実現することが可能である、あるいは要請されている一方で、自社のルールと全く同じものをグループ全体に適用する、あるいは画一的なルールを定めるといった手法が、企業活動・セキュリティ対策の両面で最適な方針ではない可能性があるということになります。
では、グループ全体のセキュリティガバナンスを有効に進めるためにはどのような方針を取ることが重要でしょうか。
グループ会社へのセキュリティガバナンスに関する情報の収集
上記の観点に沿って、各種公的機関から発行されている主要な公開文書の中からサイバーセキュリティのグループガバナンスに関する情報を収集してみます。
グループガバナンス全般に関する情報 (1)コーポレートガバナンス・コード
まず、サイバーセキュリティに限らずグループガバナンスに関して記述のある公開文書から情報を収集してみます。
東京証券取引所は実効的なコーポレートガバナンスの実現に資する主要な原則としてコーポレートガバナンス・コード
[3]をまとめており、上場企業は市場の違いに応じてコードの基本原則の対応状況に対する説明責任を持ちます。この中の【原則4-3. 取締役会の役割・責務(3)】の補充原則に、下記の項目が記載されています。
- 4-3④ 内部統制や先を見越した全社的リスク管理体制の整備は、適切なコンプライアンスの確保とリスクテイクの裏付けとなり得るものであり、取締役会はグループ全体を含めたこれらの体制を適切に構築し、内部監査部門を活用しつつ、その運用状況を監督すべきである。
上記はサイバーセキュリティを含むリスクに関して、グループ全体での体制構築を要請した項目となっています。
グループガバナンス全般に関する情報 (2)経済産業省のガイドライン
- 2.3.1 グループ本社(業務執行)の役割
グループ本社は、グループ全体としてシナジー最大化のための戦略の策定・実行や共通インフラの提供等の重要な役割を担う。
2.3.1にはグループ全体の方向性の決定と実行モニタリング、グループとしての内部統制システムの構築と運用の監督といった具体的なガバナンス項目の役割を果たすことが期待されていると補足があります。
- 2.3.3 グループ本社による子会社の管理・監督のあり方
(基本的な考え方)
グループ本社においては、権限配分等の基本的な枠組(共通プラットフォーム)を構築した上で、子会社の規模・特性等に応じてリスクベースでの子会社管理・監督、権限委譲を進めた場合の子会社経営に対する結果責任を問える仕組みの構築、業務プロセスの明確化やグループ共通ポリシーの明文化等について検討されるべきである。
別項目では、2.3.3と関連して特に上場子会社へのガバナンスの在り方として、独立した意思決定の担保の必要性にも触れられています。
- 4.3 内部統制システムの構築・運用に関する基本的な考え方
グループ全体での実効的な内部統制システムの構築・運用は、グループの企業価値の維持・向上の観点からも重要である。その具体的設計に当たっては、各社の経営方針や各子会社の体制等に応じ、監視・監督型や一体運用型の選択や組み合わせが検討されるべきである。
また、内部統制システムの高度化に当たっては、ITの活用等により効率性とのバランスを図ることも重要である。 - 4.9 サイバーセキュリティ対策の在り方
サイバーセキュリティについて、グループ全体やサプライチェーンも考慮に入れた対策の在り方が検討されるべきである。
また、4.9には下記のような補足が付記されています。
サイバーセキュリティについては、内部統制システム上の重要なリスク項目として認識し、サイバー攻撃を受けた場合のダメージの甚大さに鑑み、親会社の取締役会レベルで、子会社も含めたグループ全体、更には関連するサプライチェーンも考慮に入れたセキュリティ対策の在り方について検討されるべきである。
その他にも企業価値を支えるレピュテーションへのダメージを最小化するために、グループ本社を中心とした有事対応の在り方に関しての記載なども関連してなされています。
以上のグループガバナンス全般に関する情報をまとめると、グループガバナンスを実行する立場にある企業に対しては、配下のグループ会社を含むグループ全体での内部統制、リスク管理が求められています。これらの実現に際して、グループ本社は戦略策定、権限配分、共通ポリシーの策定などを担うことが必要です。また、具体的な内部統制システムの設計にあたっては各グループ会社の経営方針や体制を考慮することが求められています。
サイバーセキュリティに関するガバナンスの情報 (1)サイバーセキュリティ経営ガイドライン Ver3.0
サイバーセキュリティに踏み込んだガバナンスに関しては、経済産業省が公開しているサイバーセキュリティ経営ガイドラインVer3.0
[6]を参照することができます。(本文献には、グループ会社や子会社といった単語の利用やグループ会社間でのガバナンスといった観点での記載は直接的にはなされていません。そこで、単一の組織全体に対するガバナンス、あるいはサプライチェーンに対するガバナンスからグループ会社へのガバナンスに適用することのできる部分を抽出し、前項までにまとめたグループガバナンスの方針にサイバーセキュリティ対策に関する情報を付加することを試みます。)本文献にはサイバーセキュリティ経営の重要10項目がまとめられています。この中でグループ全体のセキュリティガバナンスとしては下記のような点が関連しています。
- 指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
- 事業に用いるデジタル環境、サービス及び情報を特定させ、それらに対するサイバー攻撃(過失や内部不正を含む)の脅威や影響度から、自組織や自ら提供する製品・サービスにおけるサイバーセキュリティリスクを識別させる。
- サイバー保険の活用や守るべき情報やデジタル基盤の保護に関する専門ベンダへの委託を含めたリスク対応計画を策定させ、対応後の残留リスクを識別させる。
対策例の一部に下記のような記述があります。
サイバーセキュリティリスクの把握にあたっては、自組織のみならず、サプライチェーン全体を通じたリスクを対象とするとともに、サイバー攻撃以外のリスクとして偽情報、機械学習における誤判断、海外での法令違反等も考慮する。
これらの指示や対策例は、各社が関わる事業、あるいは複数の会社をまたいだ事業についてのセキュリティリスクの把握とその対応計画の策定を要請したものとなります。この要件は企業グループ全体のセキュリティガバナンスとしても一定の必要性があるものと考えられます。
サイバーセキュリティに関するガバナンスの情報 (2)NIST CSF 2.0
別の公開文書としてNIST Cybersecurity Framework (CSF) 2.0
[7]が挙げられます。本文書はサイバーセキュリティのリスクへの対応を目的とするフレームワークを示しており、求められる管理策を6つの機能にまとめています。2.0への改版に伴って、6つ目の機能であるGV (GOVERN, 統治) が追加され、セキュリティガバナンスに関する管理策が整備されました。本文書でも本文中には明示的にグループ会社などの単語は記載がありませんが、その適用範囲はGV.OC (Organizational Context, 組織のコンテクスト) において
The circumstances — mission, stakeholder expectations, dependencies, and legal, regulatory, and contractual requirements — surrounding the organization’s cybersecurity risk management decisions are understood
とあります。すなわち、組織内外のステークホルダーとの関係を考慮したリスクマネジメントが求められており、グループガバナンスに自然につながる内容と考えられます。
GVの機能の中にはリスクマネジメント戦略 (GV.RM) においてサプライヤやその他の第三者組織を含む全体としてのコミュニケーションの確立 (GV.RM-05) について記載があります。また、役割、責任、権限を規定したGV.RRにおいては、リスクマネジメントに関する役割の定義とその伝達 (GV.RR-02) 、リスク戦略やポリシーに対応したリソース配分 (GV.RR-03) が記載されており、グループ全体のセキュリティガバナンスにより踏み込んだ項目と考えられます。
サイバーセキュリティサプライチェーンリスクマネジメント (GV.SC) では、サプライチェーンリスクマネジメントのプロセスの識別、確立、管理、監視、改善を組織のステークホルダーに求めています。各組織の役割と責任の調整 (GV.SC-02)、リスク対応の要件が契約やその他の形の合意に反映されていること (GV.SC-05)、インシデント対応への参画 (GV.SC-08)、といった項目は、特にグループ会社との取り組みという観点でも重要な管理策と考えられます。
以上のように、サイバーセキュリティに関するガバナンスは組織をまたいだ施策・体制に対しても実行することが求められており、グループガバナンスもその範疇と捉えられることがわかりました。
セキュリティに関するガイドラインに記載のグループガバナンスの情報 (1)NIST, SP 800-37 Rev.2
最後に、各種セキュリティ関するガイドラインの中からグループガバナンスに関連すると解釈できる情報を収集してみたいと思います。
NIST SP 800-37 Rev.2(連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド:セキュリティライフサイクルによるアプローチ)
[8]では、組織全体にわたるリスクマネジメントとして、組織レベル、ミッション/ビジネスプロセスレベル、情報システムレベルという3つの階層にわたるアプローチを定義し (2.1)、上位レベルからのトップダウンの形でリスク管理の計画やアセスメントを行うことが記述されています (3.1)。本文献は単一組織におけるリスクマネジメントとしての記載ですが、上記のような3つの階層で定義されたリスクマネジメントアプローチは、グループ全体の取り組みにおいてのグループ本社とグループ企業との間の取り組みと解釈することができます。本文献の第3章に記載のセキュリティポリシー等に基づく管理策の制定および評価をはじめとする各プロセスは、前項で扱ったガバナンスに関する記述と整合する形でグループ全体の取り組みに反映することができると考えられます。
セキュリティに関するガイドラインに記載のグループガバナンスの情報 (2)NIST, SP 800-161 Rev.1
また、NIST SP 800-161 Rev.1(システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティス)
[1]はサプライチェーンリスク管理を定義した文書です。こちらの文書はグループ会社に限らず広くサプライチェーンに関わるマネジメントを対象としています。特に第2章ではサプライチェーンリスクマネジメントを事業体全体のリスクマネジメントに統合することを規定しています。これは、グループ本社が自社のリスクマネジメント施策の中にグループ会社へのガバナンスを取り込む大きな動機となります。SP 800-37と同様に本文献も3つの階層でのリスクマネジメントアプローチに基づいており、同様にグループ本社からの施策の策定、セキュリティ活動の監視や評価、その他のコミュニケーションといった活動がグループガバナンスの文脈で自然に要請されると考えられます。
以上のように、組織のガバナンスアプローチがグループ全体のガバナンスに自然に反映される、あるいはグループ全体のガバナンスがグループ本社のセキュリティ活動の一部となる形で組み込まれることがわかりました。本稿で扱ったリスクマネジメントに関する文献は、前項・前々項で扱った文献類と整合する形であることも確認できました。
収集した情報のまとめ
これまで扱ってきた文献から、グループガバナンスはグループ全体での内部統制、リスク管理といった形で要請されており、サイバーセキュリティ対策もこの範疇に入ることがわかりました。さらに、実際の活動方針としては単一組織内のガバナンス活動を規定した文書、あるいはサプライチェーンなどの複数のステークホルダーが関わる活動を規定した文書がグループガバナンスと整合する内容であることもわかりました。
グループ全体のガバナンスポリシーは統一的な基本方針として策定する必要がある一方、管理策やプロシージャといったより具体的なセキュリティ対策についてはグループ各社のビジネス内容や事業の意思決定権に沿って決定する必要があることも指摘されていました。この点はグループ企業とサプライチェーン企業との違いが大きく関わっている点と考えられます。
本ブログで収集した情報のまとめとして、グループガバナンスの全体方針、あるいはグループ各社におけるセキュリティ対策を決定する際に、グループ本社の観点で考慮すべき項目を表2のように簡潔にまとめたいと思います。これは、本ブログにて扱った公開文書、およびその中から抽出した項目に限られたまとめであることにご注意ください。
| (考慮すべき項目) | (補足説明) |
| 統一方針の決定 | グループ全体に適用する基本方針 |
| 責任体制の明確化 | 各社のビジネス内容やグループ内での立ち位置に応じたセキュリティ方針の調整とその明確化 |
| 監査・モニタリング | グループポリシーや各社の方針に照らし合わせた活動の評価 前段としての評価基準の設定 |
| インシデント対応 | グループ横断の報告プロセス・ラインの整備 |
NECグループにおける取り組み例のご紹介
本ブログの最後に、NECグループのサイバーセキュリティに関するグループガバナンス活動の例をご紹介したいと思います。
NECのサイバーセキュリティに対する取り組みは、サイバーセキュリティ経営報告書[9]で公開しています。NECグループではグループ全体で「NECグループ経営ポリシー」を定め、各種ルールの共通化と制度・業務プロセス・インフラの統一を行っています。サイバーセキュリティに関するルール類もこのポリシーに統合する形で展開・運用を行っています。これらのうちの一つとしてセキュア開発に関するNECの取り組みは過去のセキュリティブログ「NECのセキュア開発の取り組み」[10]でご紹介しています。現在これらの取り組みをグループ会社へも展開しており、各社の組織体制やルールの制定状況、ビジネス内容などに応じて適切なルールと体制の調整・運用を行っています。グループ会社各社においてもこれらの活動の推進体制を担うポジションを設置いただき、相互にコミュニケーションをとりながら活動を進めています。
まとめ
本ブログでは、グループ会社へのサイバーセキュリティに関するガバナンスの方針を、グループ本社の視点で複数の公開文書から情報を収集してまとめました。特にグループ会社とサプライチェーン企業の違いを整理し、グループガバナンスとして留意すべき点をまとめました。また、NECグループ会社においても本ブログにまとめた項目に沿った取り組みの例をご紹介しました。本取り組みは今後もグループ全体のセキュア開発の水準を高めるべく続けていきます。
参考文献
- [1]NIST, SP 800-161 Rev.1
https://csrc.nist.gov/pubs/sp/800/161/r1/upd1/final - [2]サプライチェーン強化に向けたセキュリティ対策評価制度 (SCS評価制度)
https://www.meti.go.jp/policy/netsecurity/scs.html - [3]コーポレートガバナンス・コード ~会社の持続的な成長と中長期的な企業価値の向上のために~
https://www.jpx.co.jp/equities/listing/cg/tvdivq0000008jdy-att/nlsgeu000005lnul.pdf - [4]コーポレートガバナンスに関する各種ガイドラインについて
https://www.meti.go.jp/policy/economy/keiei_innovation/keizaihousei/corporategovernance/guideline.html - [5]グループ・ガバナンス・システムに関する実務指針(グループガイドライン)
https://www.meti.go.jp/policy/economy/keiei_innovation/keizaihousei/pdf/groupguideline.pdf - [6]サイバーセキュリティ経営ガイドラインVer3.0
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf - [7]NIST Cybersecurity Framework (CSF) 2.0
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf - [8]NIST, SP 800-37 Rev.2
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37r2.pdf - [9]サイバーセキュリティ経営報告書2025
https://jpn.nec.com/sustainability/ja/security/index.html - [10]NECのセキュア開発の取り組み
https://jpn.nec.com/cybersecurity/blog/240222/index.html
執筆者プロフィール
籾山 悟至(もみやま さとる)
担当領域:セキュリティ実装技術
専門分野:セキュリティ実装技術
AIモデルに対するセキュリティに関する研究開発の業務を経て、現在はNECグループのセキュリティ提案・実装推進に従事。CISSPを保持。

執筆者の他の記事を読む
アクセスランキング