本連載「サイバーセキュリティ未来考」では、注目のキーワードを読み解きながら、企業や組織におけるセキュリティ対策のこれからを占う。
改めて「サイバーセキュリティ経営ガイドライン」とは?
ITが企業や組織のビジネスにとって不可欠になった現在、サイバー攻撃をはじめとするセキュリティ上の脅威は深刻な問題だ。セキュリティ対策は経営層を巻き込む取り組みとなった。着実に対策のレベルは向上しているものの、脅威は常に変わり続ける。そうした状況にどう対応していくべきか。第1回では「サイバーセキュリティ経営ガイドライン」を取り上げる。
企業や組織でセキュリティ対策の重要性が認識されるようになり、ここ数年でさまざまな業界でサイバーセキュリティのガイドラインが公開された。しかし、サイバー攻撃は業種・業界を問わず行われ、しかも標的は大企業やグローバル企業から中小企業に広がっている。そこで、経済産業省と情報処理推進機構(IPA)がサイバーセキュリティ経営ガイドラインを策定した。
このガイドラインは、小規模な事業者を除く大企業および中小企業のうち、ITに関するシステムやサービスを供給する企業や組織、経営戦略でITの利用や活用が不可欠である企業や組織の経営者を対象にしている。つまり、ほぼ全ての企業が活用できることを目指したガイドラインだ。特に企業や組織の経営者がリーダーシップを発揮し、サイバーセキュリティ対策を継続的に推進することが念頭に置かれている。
サイバーセキュリティ経営ガイドラインには、サイバー攻撃などから企業や組織を守る観点として、経営者が認識すべき「3原則」と、経営者が情報セキュリティ対策を推進するにあたって責任者となる担当幹部(最高情報セキュリティ責任者:CISOなど)に指示すべき「重要10項目」がまとめられている。
まず3原則は、次の通りだ。
- 経営者はIT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップをもって対策を進めることが必要
- 自社はもちろん、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要
- 平時および緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応にかかる情報の開示など、関係者との適切なコミュニケーションが必要
また、重要10項目は次の通りとなる。
リーダーシップの表明と大勢の構築
- 1:サイバーセキュリティリスクの認識、組織全体での対応の策定
- 2:サイバーセキュリティリスク管理体制の構築
サイバーセキュリティリスク管理の枠組み決定
- 3:サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
- 4:サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
- 5:系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施および状況把握
リスクを踏まえた攻撃を防ぐための事前対策
- 6:サイバーセキュリティ対策のための資源(予算、人材等)確保
- 7:ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
- 8:情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
サイバー攻撃を受けた場合に備えた準備
- 9:緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
- 10:被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
サイバーセキュリティ経営ガイドラインの「3原則」と「10項目」(出典:情報処理推進機構)