経営者をサイバー攻撃から守るサイバーセキュリティ経営ガイドラインとは？

近年、ビジネスにおいて、クラウド領域、AI(人工知能)、IoT(Internet of Things：モノのインターネット)、ビッグデータ(膨大かつ多様で複雑なデジタルデータ)などデジタルテクノロジーの重要性は高まりつつあります。
IT利活用を通じて、デジタルトランスフォーメーション(DX：企業がテクノロジー(IT)を利用して事業の業績や対象範囲を根底から変化させる)が推進されるため、組織・企業の収益性は向上します。

しかしながら、IT利活用には、サイバーセキュリティリスク(サイバー攻撃を受けるリスク)が伴います。ビジネスにおける業務のIT化に伴い、サイバー攻撃は年々巧妙かつ悪質化し、システム破壊、情報漏洩・データ改ざんなど、サイバー攻撃による被害を受けた企業・組織は少なくありません。

組織・企業の経営者にセキュリティ対策の重要性を認識させる

組織・企業の経営者は、ビジネスのIT化を推進する中でセキュリティ対策の重要性を認識し、巧妙かつ悪質化するサイバー攻撃に対する防衛策が求められます。

例えば、サイバー攻撃を受け、個人情報や営業秘密としての技術情報の漏洩・流出、インフラの供給停止などが生じ、社会に対して損害を与えた場合、企業・組織の経営者は、社会からリスク対応の是非および経営責任を問われるでしょう。

そこで、経済産業省、独立行政法人情報処理推進機構(IPA)は、2015年(平成27年)12月28日、大企業および中小企業の経営者に向けて「サイバーセキュリティ経営ガイドライン　Ver 1.0(旧版)」を公表しました。

「サイバーセキュリティ経営ガイドライン」は、国が経営者に対して打ち出す初めての指針です。2016年(平成28年)12月8日にはVer 1.1(旧版)に改訂され、2017年(平成29年)11月26日にVer 2.0(最新版)が公開されました。

経営者に向けてセキュリティの考え方と重要項目を定める

「サイバーセキュリティ経営ガイドライン」は、サイバー攻撃から企業を守るとの観点から、経営者がサイバーセキュリティ経営を行ううえで認識すべき「3原則」、経営者が情報セキュリティ対策を実施するうえで意識して指示すべき「重要10項目」にて構成されています。

大企業および中小企業(小規模事業者を除く)のうち、IT関連システム・サービスなどを供給する企業、経営戦略上IT利活用が不可欠である経営者が対象です。

ガイドラインには、ITに対する投資、セキュリティに対する投資をはじめ、サイバー攻撃から企業を守るための理念・行動が提示されています。

経営者は「3原則」を認識する必要がある

「サイバーセキュリティ経営の3原則」は、経営者が認識すべきサイバーセキュリティに関する原則です。

【3原則】

1．経営者のリーダーシップが必要

2．自社以外(ビジネスパートナー等)への配慮が必要

3．平時からのコミュニケーション・情報共有が必要

サイバーセキュリティ対策は、それ自体が直接的な収益を生みだすものではありません。このため企業・組織の経営者は、セキュリティ対策の重要性、サイバー攻撃のリスクを認識しているものの、セキュリティ投資に対して積極的ではありませんでした。

経済産業省はこの「3原則」を通じて「組織・企業の経営者はサイバー攻撃リスクを認識したうえでセキュリティ対策を推進することが重要である」と説明しています。

セキュリティ対策への積極的投資を促進するためには、経営者の認識が不可欠です。組織・企業の経営者は、リーダーシップをとって、積極的にセキュリティ対策を推進する必要があります。

また、サイバー攻撃リスクの要因を排除するには、自社をはじめ、子会社や系列企業のビジネスパートナー、さらにはアウトソーシング(外部委託)などのサプライチェーンまでを考慮し、社内・社外に目を向けたセキュリティ対策が求められます。

そして、重大なインシデント(サイバー攻撃)発生時はもちろん、平時よりセキュリティ対策に関する情報を開示するなど、関係者と適切なコミュニケーションを図り、積極的に信頼関係を構築することが重要です。

こうしておくことで、サイバー攻撃による被害が発生し社会に対して損害を与えた場にも、ステークホルダー(顧客、株主など)や取引先など関係者の不信感は最小限に抑えられ、状況説明やサイバー攻撃情報(インシデント情報)の共有がしやすくなります。

なお、セキュリティ対策は、サイバー攻撃に対するリスクマネジメントです。Ver 1.0(旧版)では、セキュリティ対策は費用・コストと受け取れる表現で明記されていましたが、Ver 2.0(最新版)にて投資に値するものと認識を促す表現に改められました。

経営者の指示のもと「重要10項目」を着実に実施する

【重要10項目】

■セキュリティマネジメント体制の構築

(指示1)

サイバーセキュリティリスクの認識、組織・企業全体における対応方針策定

(指示2)

サイバーセキュリティリスク管理体制の構築

(指示3)

サイバーセキュリティ対策に伴う資源(予算、人材等)確保

■セキュリティリスクの特定と対策の実装

(指示4)

サイバーセキュリティリスクの把握、リスク対策目標・対応計画の策定

(指示5)

サイバーセキュリティリスクに対応する保護対策(防衛・検知・分析)の実施

(指示6)

サイバーセキュリティ対策におけるPDCAサイクル実施

■インシデント(サイバー攻撃)に備えた体制構築

(指示7)

インシデント発生時の緊急対応体制の整備

(指示8)

インシデントによる被害に備えた復旧体制の整備

■サプライチェーンセキュリティ対策の推進

(指示9)

サプライチェーン全体のセキュリティ対策実施および状況把握

■関係者とのコミュニケーション

(指示10)

情報共有活動への参加、インシデント情報入手および情報の有効活用・提供

「サイバーセキュリティ経営ガイドライン Ver2.0」より

最新版Ver 2.0(2017年11月26日最新版)では、「3原則」および作業の時系列に基づき、旧版Ver 1.0(2015年12月28日)の既存項目が整理されました。類似項目は統合され、新規に2項目(指示5対策実施、指示8復旧)が追加されました。

「3原則」「重要10項目」に従ってセキュリティ管理体制を構築する

組織・企業の経営者は「3原則」「重要10項目」に従って、サイバーセキュリティ対応方針を策定し、積極的にサイバーセキュリティ対策におけるPDCAサイクルを実施します。

サイバーセキュリティリスク管理体制の構築には、経営者とセキュリティ対策担当者において密な連携が不可欠です。また、リスク管理体制を構築するうえで、経営リスク委員会など他体制(例えば内部統制、災害対策)との整合性も重要になります。

サイバー攻撃は年々巧妙かつ悪質化し、自社のシステムがサイバー攻撃を受けていることに気付かない場合さえ少なくありません。もはや「事前対策(入口対策)」だけでは不十分というところまできており、組織・企業には積極的な「事後対策」が求められます。

それゆえ「サイバーセキュリティ経営ガイドライン」では、サイバー攻撃から組織・企業を守るための理念・行動を提示し、組織・企業のサイバーセキュリティ対策において「検知・対応・復旧」に重点を置いた事後対策の重要性を説いています。