業界ニュースダイジェスト

サイバーセキュリティ経営ガイドライン

2015年12月28日に経済産業省と独立行政法人情報処理推進機構（ IPA ）が、「サイバーセキュリティ経営ガイドライン」を策定し、公表しました。今回はこのガイドラインの概要や活用方法について紹介します。

国のサイバーセキュリティ戦略を基に打ち出された経営者向けガイドライン

今回策定された「サイバーセキュリティ経営ガイドライン」は、2014年11月に施行されたサイバーセキュリティ基本法を基に、2015年9月に閣議決定されたサイバーセキュリティ戦略の一角を担うものとして公表されました。サイバーセキュリティ戦略では「経済社会の活力の向上及び持続的発展」という目的を達成するために「セキュリティマインドを持った企業経営の推進」という施策を掲げており、その中で(1)経営層の意識改革、(2)経営能力を高めるサイバーセキュリティ人材の育成、(3)組織能力の向上、の3つに取り組むことが記載されています。「サイバーセキュリティ経営ガイドライン」は、この内容を受けて策定されたものとなります。

「サイバーセキュリティ経営ガイドライン」概要

ここでは「サイバーセキュリティ経営ガイドライン」のアウトラインを見ていきます。ガイドラインの構成としては、対象者別に大きく3つのグループに分かれており、それぞれに対して「経営者」「CISO及びセキュリティ担当者」「セキュリティ担当者」に向けた内容であることを定義しています。

「サイバーセキュリティ経営ガイドライン・概要」は経営者向けの内容であり、以下の背景からサイバーセキュリティは経営問題であることが謳われています。

ITの利活用は企業の収益性向上に必要不可欠であるが、ビジネスを脅かすサイバー攻撃は避けられないリスクとなっている。
企業戦略としてどの程度のセキュリティ投資を行って企業価値を高めるのか、経営判断が求められる。
サイバー攻撃により社会に対して損害を与えた場合、社会から経営者のリスク対応の是非や経営責任が問われることもある。

また概要の中では、ガイドラインの対象を定義しており、「大企業及び中小企業（小規模事業者を除く）」の中で、「ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者」と明記しています。多くの企業は事業内容やサプライチェーンとしての役割の中で対象となることを考慮する必要があります。

「はじめに」以降は経営者の指示を受けて実際にCISOやセキュリティ担当者が対応すべき内容の解説や対策を実践する上での対策例などが記載されています。また付録については、ガイドラインに対応したチェックシートや具体的な技術対策例などの参考情報が盛り込まれています。

「サイバーセキュリティ経営ガイドライン」詳細

ここからは内容の詳細について見ていきます。本ガイドラインでは「3原則」と「重要10項目」の2つの内容が中心となっています。

「3原則」はサイバーセキュリティに対して経営者が認識すべき内容として、(1)セキュリティ対策におけるリーダーシップの発揮、(2)サプライチェーンを含めた事業体全体を見渡した対応の実施、(3)情報開示・共有などの適切なコミュニケーション、が記載されています。

「重要10項目」はサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISO など）に指示すべき10の項目が４つのカテゴリに分かれおり、各項目にはそれぞれ「項目内容に関する問題の提起」と「対策を怠った場合のシナリオ」、「その対策例」が記載されています。また付録Aのチェックシートや、付録Bの参考文献や対策例と合わせて使用することで、各企業での対策検討や課題整理など、さまざまな活動の中で活用できるものになっています。またサイバーセキュリティ対策は、事業環境の変化や各企業の状況により常に変更されるものであり、それぞれに合った対策を行うこととしています。

サイバーセキュリティ経営ガイドライン 3原則

(1) 経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

セキュリティ投資に対するリターンの算出はほぼ不可能
迅速かつ適切な対応ができるか否かが会社の命運を分ける

(2) 自社はもちろんのこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要

委託先が無防備な場合、自社提供情報が流出する

(3) 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要

情報開示により関係者の信頼性を高める
万一被害が発生しても関係者の不信感を抑えられる
サイバー攻撃情報の共有により他社への被害拡大防止

サイバーセキュリティ経営ガイドライン重要10項目

１. リーダーシップの表明と体制の構築
(1) サイバーセキュリティリスクの認識、組織全体での対応の策定
(2) サイバーセキュリティリスク管理体制の構築

2. サイバーセキュリティリスク管理の枠組み決定
(3) サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
(4) サイバーセキュリティ対策フレームワーク構築（PDCA）と対策の開示
(5) 系列企業やサプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握

3. リスクを踏まえた攻撃を防ぐための事前対策
(6) サイバーセキュリティ対策のための資源（予算、人材等）確保
(7) ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
(8) 情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備

4. サイバー攻撃を受けた場合に備えた準備
(9) 緊急時の対応体制（緊急連絡先や初動対応マニュアル、CSIRT）の整備、定期的かつ実践的な演習の実施
(10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

「サイバーセキュリティ経営ガイドライン」の活用にむけて

ここまで「サイバーセキュリティ経営ガイドライン」の内容について見てきました。本ガイドラインは経営者がサイバーセキュリティリスクというものを把握、理解するためにまとめられたものです。

ガイドラインには重要10項目の対応を確認するためのチェックシートが付属しています。まずはそれを用いて自社の状況をチェック、検証を行うことから始めてみてください。

NECでは、今回の「サイバーセキュリティ経営ガイドライン」の内容を踏まえた上で、それぞれのお客様に合ったサイバーセキュリティ対策ソリューション・サービスを提供します。またこれまでNECが培ってきたサイバーセキュリティに関するノウハウや経験を基に、課題検討やリスク分析など、さまざまな部分でお客様を力強くサポートします。

【診断】簡単な質問でわかる！
あなたの会社の「サイバーセキュリティ経営ガイドライン」対応の現状は？

お問い合わせ

サイト内の現在位置を表示しています。