業種・規模を問わず、ITの業務への活用は一般的ですが、情報漏えい等の重大なインシデントを起こさないためにも、サイバーセキュリティの知識が求められています。
とは言え、何に気を付けるべきなのかというのは、企業・組織によっても様々で、かつ変化し続けるものでもあるため、なかなか一筋縄ではいきません。
そこで今回は、経営者がセキュリティ対策を推進できるように経済産業省が発表した、原則と重要項目をまとめた「サイバーセキュリティ経営ガイドライン」を紹介します。
また、企業の情報セキュリティポリシー策定でお悩みの方へ、LRMでは情報セキュリティポリシーのサンプルと策定ポイントをまとめた資料を無料で配布しています。ぜひご活用ください。
この記事は、経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」に基づいています。
サイバーセキュリティ経営ガイドラインとは
サイバーセキュリティ経営ガイドラインは、経済産業省が独立行政法人情報処理推進機構(IPA)とともに、大企業及び中小企業(小規模事業者を除く)のうち、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するために策定されたものです。
このガイドラインでは、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」がまとめられています。
また、付録として、サイバーセキュリティインシデントに備えるための参考情報や、体制構築や人材確保について具体的な検討を行う際の参考となる手引きもまとめられています。
詳しい情報は、経済産業省のウェブサイトをご覧ください。
サイバーセキュリティ経営ガイドラインの構成
サイバーセキュリティ経営ガイドラインは、
- 経営者が認識すべき3原則
- サイバーセキュリティ経営の重要10項目
- 付録A~E
の主に3つの要素で構成されています。
決して多くはありませんが、それぞれの項目に解説があり、詳細に解説しています。
サイバーセキュリティ経営ガイドラインの3原則
サイバーセキュリティ経営ガイドラインは、企業経営リスクへの対策を検討、議論するにあたり、サイバーセキュリティについて、考慮すべき事項がまとめられているものです。
- サイバーセキュリティ経営ガイドラインが示す3原則
- リーダーシップの発揮
- サプライチェーンセキュリティの強化
- 関係者との積極的なコミュニケーション
それぞれ解説します。
リーダーシップの発揮
経営者が自らのセキュリティに対する責任を認識し、強いリーダーシップを発揮して対策を推進することが求められます。
サイバー攻撃から企業だけでなくサプライチェーン全体を守るためには、経営幹部が自らのセキュリティに対する責任を認識した上で、強いリーダーシップを発揮して対策を推進することが重要な役割です。
サプライチェーンセキュリティの強化
自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要となります。
関係者との積極的なコミュニケーション
社外のみならず、社内関係者とも積極的にコミュニケーションをとることが必要です。
総合的なセキュリティ対策の重要性を伝えるために、社内関係者、社外関係者とも積極的にコミュニケーションをとることが求められます。
これらの項目は、経営ガイドラインという名前の通り、会社を経営する立場、つまり取締役に求められている原則です。
一般社団法人日本経済団体連合会では「サイバーリスクハンドブック」という名前で、同じくサイバーセキュリティにまつわるガイドラインを公開しています。
こちらも、サイバーセキュリティ経営ガイドラインと同じく、実際に知っておくべき知識や、リスクの最小化するための施策といった情報が網羅されているため、サイバーリスクをどう認識して、どのような対処をしていくかを考え、行動に移せるようにする目的で作られたものです。
こちらも、一緒に参考にすることで、より理解が深まるでしょう。
サイバーセキュリティ経営ガイドライン重要10項目
サイバーセキュリティ経営ガイドラインにおける重要項目とは以下の10項目です。
- サイバーセキュリティリスクの認識、組織全体での対応方針の策定
- サイバーセキュリティリスク管理体制の構築
- サイバーセキュリティ対策のための資源(予算、人材等)確保
- サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
- サイバーセキュリティリスクに効果的に対応する仕組みの構築
- PDCAサイクルによるサイバーセキュリティ対策の継続的改善
- インシデント発生時の緊急対応体制の整備
- インシデントによる被害に備えた事業継続・復旧体制の整備
- ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
- サイバーセキュリティに関する情報の収集、共有及び開示の促進
それぞれ解説します。
サイバーセキュリティリスクの認識、組織全体での対応方針の策定
1つめは、サイバーセキュリティリスクの認識、組織全体での対応方針の策定です。
サイバーセキュリティ対策を怠った場合、被害の拡大を招くおそれがあるため、サイバーセキュリティリスクへの組織全体での対応方針が策定されている必要があります。
また、対応方針は従業員が簡単にアクセスできる場所に保管し、従業員教育等による周知徹底もはかりつつ、策定・公開したセキュリティポリシーに基づき組織として継続的な改善に取り組むことが重要だと記載しています。
また、企業として対応方針を宣言することにより、ブランド価値向上にもつながります。
サイバーセキュリティリスク管理体制の構築
2つめは、サイバーセキュリティリスクの管理体制の構築です。
管理体制を構築しておかないと責任の所在があいまいになってしまい、リスク対策や有事のリスク対応がスムーズに立ち行かなくなってしまいます。
自社の実態に応じた役割と責任割当に基づく体制を構築して、組織内のガバナンスや内部統制、その他のリスク管理を推進しましょう。
サイバーセキュリティ対策のための資源(予算、人材等)確保
3つめは、サイバーセキュリティ対策のための資源確保です。
サイバーセキュリティにまつわるリスクを、許容できる範囲に抑えるためには、実施に必要となる資源(予算、人材等)を確保した上で具体的な対策に取り組む必要があります。
すべての役職員に自らの業務にまつわるセキュリティの意識を高め、サイバーセキュリティ対策を明確にし、それに要する資源を確保しましょう。
自社にてセキュリティ分野の教育・トレーニング等の実施が困難な場合は、外部から講師を招いたり、民間企業が提供するサービスを活用することも有効です。
LRMでも、従業員のセキュリティ教育・訓練・意識づけにセキュリティ教育クラウド「セキュリオ」をご提供しています。
サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
4つめは、サイバーセキュリティリスクの把握とリスク対応に関する計画の策定することです。
自社や自ら提供する製品・サービスにおけるリスクを識別し、リスク対応計画を立てましょう。リスクアセスメントの実施にあたっては、以下のようなアプローチから適切な方法を選んで対応します。
- リスクが顕在化する条件の検討
- 多層防御の有効性の評価
- リスク回避策の実施
- リスク移転策の実施
- リスクを他社等に移す対策
サイバーセキュリティリスクに効果的に対応する仕組みの構築
5つめは、サイバーセキュリティリスクに対応するための仕組みを構築することです。
クラウドサービスへの移行やゼロトラストモデルの採用など、「防御」「検知」「分析」の各機能を実現する仕組みを構築し、事業環境やリスクの変化に対応するための見直しを実施しましょう。
インシデントの予兆を検知する仕組みが従来どおりのままでは見逃しや対応の遅れが生じる可能性があるため、営業秘密や機微性の高い技術情報、個人情報などの重要な情報を保護する仕組みや、改ざん検知の仕組みを導入を検討することが求められています。
PDCAサイクルによるサイバーセキュリティ対策の継続的改善
6つめは、サイバーセキュリティリスクの特徴を踏まえた、対策の継続的改善です。
ステークホルダーの信頼を失わないように、PDCAサイクルを運用し、対策の状況を定期的に見直し、万が一の際の早期発見に努めて、株主やステークホルダーからの信頼を高めるため、対策の改善を続けていくことが書かれています。
具体的には、サイバーセキュリティリスク管理に関するKPIを定め、経営者に報告し、必要に応じて、目的に応じた脆弱性診断やペネトレーションテストなどを実施、追加対応が必要な場合には、速やかに対処方針を修正するといった内容が盛り込まれています。
インシデント発生時の緊急対応体制の整備
7つめは、インシデント発生時の緊急対応体制の整備です。
影響範囲や損害の特定、被害拡大防止を図るための初動対応を適時に実施し、情報開示の際に経営者が組織の内外へ説明ができる体制を整備しておくことの重要性が書かれています。
サイバー攻撃による被害を受けた場合、被害原因の特定及び解析を速やかに実施し、関係機関との連携による調査が行えるように事前に整備を決めておくことが重要です。
インシデントによる被害に備えた事業継続・復旧体制の整備
8つめは、インシデントによる被害に備えた事業継続・復旧体制の整備です。
万が一業務停止等の状態になった場合、いつまでに復旧すべきか、組織全体としてどのようにして事業を継続するか、計画を定めることについて書かれています。
また、情報系のインシデント以外で企業活動に影響をもたらす可能性のある事業では、対策を自社内に限定せず、企業間をまたがった対策を整備する必要もあります。
ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
9つめは、サプライチェーン全体にわたって適切なサイバーセキュリティ対策が講じられるように、全体状況の把握と対策についてです。
国内外の拠点、ビジネスパートナーやシステム管理の運用委託先等を含めた対策状況を把握して、委託先選定の際に、想定外の事業停止に追い込まれるリスクを回避することが書かれています。
委託先の会社が、ISMS等のセキュリティマネジメント認証を取得していると、より効率よくリスク回避ができるでしょう。
サイバーセキュリティに関する情報の収集、共有及び開示の促進
最後は、サイバーセキュリティに関する情報の収集、共有及び開示の促進です。
有益な情報を得るには自ら適切な情報提供を行う必要があるため、双方向の情報共有を通じて社会全体で防御につなげることの重要性を問いたものです。
サイバー攻撃の防御につなげていくため、積極的に情報を提供していき、セキュリティーにまつわる情報共有を密に行いましょう。
サイバーセキュリティ経営ガイドラインを効果的に活用するには
付録のサイバーセキュリティ経営チェックシートを活用する
サイバーセキュリティ経営ガイドラインには、付録として、『「経営者が認識すべき3原則」に関するチェックシート』『「サイバーセキュリティ重要10項目」に関するチェックシート』がファイルの末尾に記載されています。
実際に、この原則と重要項目を遵守できているかどうかを見分けるために利用でき、どこが不足しているのか、どこに問題があるのかといった、課題の洗い出しに利用できます。
サイバーセキュリティ対策に関する参考情報を利用して、体系的に理解する
サイバーセキュリティ経営ガイドラインのほかに、『実践のためのプラクティス集』が存在します。
ガイドラインを見て、知識を蓄えただけでは意味がなく、実際にどのようにして生かすかということがより具体的に書かれているのが、プラクティス集です。
また、こちらのほうがより読みやすい工夫がされており、専門用語も少なく、図解、色付きの分類わけで、知識のない人でも、読みやすいです。
こういった、資料を同時に読むことで、体系的な知識の定着を図りましょう。
その他サイバーセキュリティ経営ガイドラインで重視すべき内容
サイバーセキュリティ経営ガイドラインには、3原則と重要10項目以外にも、付録として、サイバーセキュリティインシデントに備えるための参考情報や、体制構築や人材確保について具体的な検討を行う際の参考となる手引きがまとめられています。
また、関連ツールとして、独立行政法人情報処理推進機構(IPA)にて、本ガイドラインを実践する際に参考となるプラクティス集や、実践状況を可視化するためのツールが公開されています。
これらの付録や関連ツールも、サイバーセキュリティ経営ガイドラインで重視すべき内容です。
まとめ
サイバーセキュリティのガイドラインについて解説しました。
経営者が押さえておくべきサイバーセキュリティ対策にまつわる内容がまとまっている有益な資料と言えます。
ぜひ内容をしっかり読み込み、事業に活かしていきましょう。
また、企業が制定しなければならない情報セキュリティポリシーの策定サンプルとポイントをまとめた資料を無料で配布しています。ぜひご活用ください。
