サイバーセキュリティ経営ガイドラインとは?Ver3.0の改定背景と詳細を解説
目次[非表示]
はじめに
近年、サイバーセキュリティの重要性が増してきた中、企業や組織が対策を策定する際の基準となる「サイバーセキュリティ経営ガイドライン」が注目を浴びています。
「サイバーセキュリティ経営ガイドライン」とは、サイバー攻撃の増加や情報資産の重要性を背景に、企業経営者やサイバーセキュリティ対策を実施する上での責任者である担当幹部(CISO 等)及びセキュリティ担当者に対して、セキュリティの最前線での対策や取り組み方を示すための指南書です。このガイドラインは、経済産業省が独立行政法人情報処理推進機構(IPA)とともに専門家や業界団体が連携して、経営者がサイバーリスクを経営の一部として理解し、適切な対応を取るための枠組みを提供することを目的として作成されました。
特に、Ver3.0では、前バージョンからのフィードバックや新しいサイバー脅威への対応を盛り込んでおり、より実践的な内容が強化されています。
この記事では、サイバーセキュリティ経営ガイドライン Ver3.0の詳細を解説します。
サイバーセキュリティの重要性
近年、世界中で発生するサイバー攻撃は増加の一途を辿っており、企業や組織のデータやシステムが常に脅威にさらされています。インシデントが発生しサービス廃止に追い込まれるケースが出てきている状況です。
出典:⼀般社団法⼈⽇本サイバーセキュリティ・イノベーション委員会(JCIC)「社内のセキュリティリソースは「0.5%以上」を確保せよ ~DX with Security を実現するためのサイバーリスク数値化モデル~」
更に、サイバー攻撃による経済的被害は年々増大しており、サイバーセキュリティはもはや企業の生存に直結するテーマとなっていることが明らかです。
引用:『インシデント損害額調査レポート 2021』(特定非営利活動法人日本ネットワークセキュリティ協会)https://www.jnsa.org/result/incidentdamage/2021.html
以上のような事例を踏まえ、企業の経営者はサイバーセキュリティを経営の根幹と捉え、対策を推進する必要があるのです。
サイバーセキュリティ経営ガイドラインの概要とVer3.0改訂背景
平成27年のVer1.0公表以降、サイバーセキュリティ経営ガイドラインは、国内の経営者を中心とした組織的なサイバーセキュリティ対策の指針として定着してきました。経済産業省のコーポレートガバナンスに関するガイドラインでも、サイバーセキュリティリスクについて、このガイドラインの参照が求められるようになっています。
Ver2.0以降、約6年ぶりの改定となりますが、改定の背景として以下の変化が見られるようになったことが挙げられます。
- テレワークなど、デジタル環境を活用した働き方の多様化
- インターネットと現物の取引空間の連携が深まり、それに伴うリスクの増大
- サイバーセキュリティの対象が情報資産とIT環境だけから、制御系も含むデジタル基盤全体に拡大
- ランサムウェアの被害が顕在化し、企業活動への影響が大きくなった
- サプライチェーンを通じたサイバーセキュリティ被害の増加
- ESG投資の拡大による、ガバナンスとリスクマネジメントへの関心の高まり
これらの変化を基に、Ver3.0では、Ver2.0の基本的な構成を保持しながら、最新の状況に対応できる内容へと見直しが行われました。
ガイドラインのバージョンごとの検討は、経済産業省と情報処理推進機構(IPA)の共催で行われ、Ver3.0の策定には、機関投資家や専門家へのヒアリングを実施し、必要なセキュリティ対策を取り入れて改訂が進められています。
具体的には経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」がまとめられています。
他のガイドラインやフレームワークとの主な違いは、このガイドラインが特に経営層の視点を強く取り入れ、経営戦略としてのサイバーセキュリティの位置づけを明確にする点にあります。
多くのガイドラインが技術的な対策や具体的な実装方法に焦点を当てる中、このガイドラインは経営のトップダウンのアプローチを促進し、組織全体での一貫した方針策定と取り組みを目指しています。
サイバーセキュリティ経営の「3原則」
サイバーセキュリティ経営の「3原則」について、主に以下が明記されています。
-
経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
- サイバーセキュリティは企業経営の中心的課題であり、デジタル環境の依存度の増大に伴い、攻撃の影響の可能性が増えている。
- 事業活動や人命への影響を防ぐため、サイバーセキュリティ対策は必須。
- 経営者はリーダーシップを発揮し、リスクを理解し、対策の主導が求められる。
-
サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
- デジタル技術の進化に伴い、サプライチェーンは非常に複雑で変化が速い。
- サプライチェーン内の弱点が自社のリスクとなる可能性があるため、総合的なセキュリティ対策が不可欠。
- サプライチェーンの全ての要素において、リスクを低減し、対策の推進が必要。
-
平時及び緊急時のいずれにおいても、サイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要
- サイバー攻撃時には、関係者との信頼関係や適切なコミュニケーションが対応の鍵となる。
- 平時からのリスクや課題の共有、そしてコミュニケーションがインシデント発生時の迅速な対応や外部への円滑な説明につながる。
サイバーセキュリティ経営の重要「10項目」
経営者は、以下のポイントでCISOなどに指示を出し、組織に適切に実施させる必要があります。
ただし、指示だけではなく、実施方針の検討や予算、人材の配置、実施状況の確認などを通してリーダーシップを発揮する必要があります。
自組織での対応が困難又は専門事業者による実施が適切と判断される取組については、専門事業者への外部委託も考慮することが明記されています。主要な10の指示は以下の通りです。
サイバーセキュリティリスクの認識と対応方針の策定
- サイバーセキュリティリスク管理体制の構築
- サイバーセキュリティ対策の資源(予算、人材など)確保
- サイバーセキュリティリスクの把握とリスク対応計画の策定
- 効果的なサイバーセキュリティ対策の仕組み作り
- PDCAサイクルでのサイバーセキュリティ対策の持続的改善
- インシデント対応体制の整備
- インシデントに備えた事業継続・復旧体制の整備
- サプライチェーン全体のセキュリティ状況把握と対策の推進
- サイバーセキュリティ情報の収集、共有、開示の推進
まとめ
サプライチェーン全体を狙った攻撃や電力の重要インフラへの攻撃など、国内外において企業を標的とする攻撃はその規模と手口の巧妙さが益々加速しています。
IT部門やセキュリティ担当者の手で負える範囲を超えているのは明らかなため、経営層がトップダウンでサイバーセキュリティ対策を行う必要性は明白です。
サイバーセキュリティ経営ガイドラインを理解するためには、「"経営"のガイドライン」である点に注目して読み進めることが重要です。
