サイバーセキュリティ経営ガイドラインの概要
このように、サイバーセキュリティの中にはこれまでの情報セキュリティも含まれると考えていけば、本ガイドラインはこれまでの情報セキュリティ対策と関連性が深いものであるということがわかります。
本ガイドラインの構成は以下の通りです。
サイバーセキュリティ経営ガイドライン・概要
1.はじめに
2.サイバーセキュリティ経営の3原則3.サイバーセキュリティ経営の重要10項目
【付録】
(A)サイバーセキュリティ経営チェックシート
(B)望ましい技術対策
(C)国際規格 ISO/IEC27001 及び 27002 との関係
(D)用語の定義
本ガイドラインの読者は一義的に経営者ですが、実際に手を動かす人たちにもわかりやすく対応を記載するために、2部構成になっています。経営者向けのエグゼクティブサマリとして「サイバーセキュリティ経営ガイドライン・概要」があり、「はじめに」と合わせて経営者への注意喚起しています。
経営者の同意を得ることができた際に、実際の対策例としてそれ以降を情報セキュリティ担当が実施することで、サイバーセキュリティ経営を実践できるものとなっています。
サイバーセキュリティ経営の3原則
サイバーセキュリティ経営の3原則として以下の項目が挙げられています。
- 経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
- 自社はもちろんのこと、系列企業やサプライチェーンのビジネスパートナー、 ITシステム管理の委託先を含めたセキュリティ対策が必要
- 平時及び緊急時のいずれでも、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要
情報セキュリティは担当者任せになっているという懸念を含めて、原則1は設定されているようです。サイバーセキュリティリスクは経営リスクの一環であり、その対応についても経営者自らが積極的に取り組むべきであるとし、それをリーダーシップという言葉で表しています。
具体的には、事故発生時の迅速な対応のためのリソースの確保などが挙げられます。また、自社や他社で発生したセキュリティ事故から学習し再発防止に努めることが求められています。
原則2は、米国のスーパーマーケット、Targetの事例をもとにした注意喚起でしょう。ターゲットでは取引企業へのAPT攻撃から自社のPOSシステムが攻撃されるという事故が発生し、経営陣が解雇されるなど、大きな問題となりました。また、JIS Q 27002:2014でサプライチェーンセキュリティの項目が追加されたことによる新たな注意喚起ととらえることもできます。
原則3は情報収集の重要性について注意喚起をしています。これまでに発生した多くの事故では攻撃者の特定もできておらず、結果として攻撃の目的(動機)も判明していないために再発防止についての検討が十分ではありません。これが実はサイバー攻撃を受け続けている原因だともいえるからです。企業は事故対応を適切に実施するために常に情報収集をし、これを関係者と共有することで事故による影響の極小化を目指そうというものです。
これらは本ガイドラインの策定に参加していない筆者でもその背景が理解できるような基本的な内容であり、企業に不足しており対応ができていない対策です。この3原則が求められていることを経営者に正しく伝え、自社の取り組みに生かせるとよいでしょう。
