サイバーセキュリティ経営の重要10項目
3原則に続いて、対策の重要10項目が提示されています。
1.リーダーシップの表明と体制の構築
(1)サイバーセキュリティリスクの認識、組織全体での対応の策定
(2)サイバーセキュリティリスク管理体制の構築
2.サイバーセキュリティリスク管理の枠組み決定
(3)サイバーセキュリティリスクの把握と実現するセキュリティレ ベルを踏まえた目標と計画の策定
(4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
(5)系列企業や、サプライチェーンのビジネスパートナーを含めたサ イバーセキュリティ対策の実施及び状況把握
3.リスクを踏まえた攻撃を防ぐための事前対策
(6)サイバーセキュリティ対策のための資源(予算、人材等)確保
(7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
(8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
4.サイバー攻撃を受けた場合に備えた準備
(9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
(10)被害発覚後の通知先や開示が必要な情報の把握、経営者による 説明のための準備
4つの大項目とそれにぶら下がる形で全体で10項目が提示されています。
提示された10項目の詳細は「経営者に対する問いかけ」「対策を怠った場合のシナリオ」「対策例」によって説明されています。問いかけはチェックリストと連動する形で、提供されており、経営者とのコミュニケーションに使うことができます。
ここで提示されている10項目については、多くの内容がJIS Q 27001や27002で問われているものであり、ISMS適合性評価制度による認証(ISMS認証)を受けている企業にとっては代わり映えのするものではないかもしれません。
このガイドラインが発行されるとした当初の目的としては、ISMS認証だけでは十分ではない領域において提言であり、ISMSの内容を別解釈するものではなかったはずですが、結果として対応リストでもわかるように、すべての項目がJIS Q 27001や27002の範囲内に収まっています(本ガイドラインでは国際規格ISO/IEC27001及び27002との関係とされている)。
本来であれば、それぞれのフレームワークが相乗効果をもってより良い活動の基盤となることが望まれていたはずですが、現状ではそこまでの内容を打ち出すことができなかったということなのでしょう。
また、本ガイドライン策定の目的の1つに第三者による評価があったのですが、現状では提示されている内容が努力目標に近いものであり、監査や第三者評価のための基準やベースラインからは程遠いというのも残念なところです。
「セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい」――。ガイドラインの冒頭にある一文をまさにこのガイドライン自身のあいまいさが示しており、国としてのベースラインの策定が重要なポイントなるのではないかと考えています。
企業がそれぞれの指標を決め、それを維持するために継続的に監視し、改善のためのデータを経営者に提示できるような環境作りのためのガイドが求められているのではないでしょうか。これまでにそのような経験をした情報セキュリティ専門家は少なく、その知識やスキルが集約されたガイドラインの策定が難しい理由は理解できるのですが。