サイバーセキュリティ経営ガイドラインVer2.0とは?
3原則と重要10項目
昨今の巧妙かつ多様なサイバー攻撃により、被害を受ける企業が年々増加しています。サイバー攻撃の被害を防ぐには、企業戦略としてサイバーセキュリティ対策に取り組むことは必須です。
今回は、企業がサイバーセキュリティ対策をおこなう際に、経営者が認識すべき3原則、サイバーセキュリティ経営の重要10項目など、サイバーセキュリティ経営ガイドラインの概要や活用方法を解説します。
※この記事の内容は、経済産業省 独立行政法人 情報処理推進機構「サイバーセキュリティ経営ガイドラインVer 2.0」の内容をもとに作成しています。
◆サイバーセキュリティ経営ガイドラインVer2.0とは?
サイバーセキュリティ経営ガイドラインは、経済産業省とIPA(独立行政法人情報処理推進機構)が共同で策定した企業向けのガイドラインです。
企業戦略としてサイバーセキュリティ対策に取り組む際に、経営者が認識すべき原則や重要項目がまとめられています。
サイバーセキュリティ経営ガイドラインは、2015年に初版が公開され、2016年にVer1.1、2017年にVer2.0へとアップデートされています。
サイバーセキュリティ経営ガイドラインが発表された経緯
IT技術の活用が進むなか、大企業を含め多くの企業がサイバー攻撃の被害を受けています。
そういった背景を踏まえ、サイバーセキュリティ経営ガイドラインは、企業がサイバー攻撃から身を守る手段として策定されました。
近年はサイバー攻撃の手口が巧妙化し、気づかないうちに被害を受ける可能性もあるため、サイバーセキュリティ対策は必須です。
情報漏洩、顧客データの流出などあらゆる経営リスクを回避するため、すべての企業において積極的にセキュリティ対策に取り組んでいくことが求められるようになっています。
Ver.1.1からVer2.0に改訂されたポイント
サイバーセキュリティ経営ガイドラインは、2017年11月にVer2.0にアップデートされています。
Ver1.1からVer2.0への主な改訂ポイントは以下の通りです。
経営者が認識すべき3原則の基本構成見直し
サプライチェーン全体へのセキュリティ対策
ステークホルダーとの適切なコミュニケーション
リーダーシップによる対策推進
重要10項目の指示追加
サプライチェーン対策における留意点の追加
攻撃検知に関する仕組み構築
復旧に関する仕組み構築
付録C 「インシデント発生時に組織内で整理しておくべき事項」追加
近年のサイバー攻撃は、事前対策だけでは対処が難しくなっており、攻撃が発生した際を想定した仕組みづくり、各所の状況把握・コミュニケーションが重要となっています。
次の章から今企業が取り組むべき、サイバーセキュリティ経営ガイドラインVer2.0の内容についてお伝えしていきます。
◆サイバーセキュリティ経営ガイドラインVer2.0の3原則
サイバーセキュリティ経営ガイドラインVer2.0には、サイバーセキュリティ対策に取り組むうえで経営者が認識すべき3原則が定義されています。
それぞれの内容を解説します。
原則1:リーダーシップによって対策を進める
サイバー攻撃への対策およびサイバー攻撃の被害を受けた際の迅速な対応ができるかは、いかにサイバーセキュリティ対策に経営資源を割けるかにかかっています。
そのため、経営者がサイバーセキュリティのリスクを認識し、リーダーシップを発揮しながらサイバーセキュリティ対策に取り組むことが必要です。
原則2:ビジネスパートナーや委託先も含めたセキュリティ対策
昨今のサイバー攻撃では、堅牢な大企業本体を狙うのではなく、系列企業やビジネスパートナー、委託先などのなかからセキュリティ対策が手薄なところを狙うサプライチェーン攻撃という手法も広まっています。
サプライチェーン攻撃を防ぐために、サプライチェーン全体のセキュリティ対策徹底と対策状況の把握が必要です。
原則3:リスクや対策に係る適切なコミュニケーション
サイバー攻撃が発生した際、平時から適切なコミュニケーションがとれていないと、各ステークホルダーの不信感が高まり、企業にさらなる悪影響が発生する可能性があります。
サイバー攻撃の被害を拡大しないためにも、企業はサイバーセキュリティ対策の実施内容を積極的に発信し、各ステークホルダーと適切にコミュニケーションをとっておくことが重要です。
◆サイバーセキュリティ経営ガイドラインVer2.0の重要10項目
サイバーセキュリティ経営ガイドラインVer2.0では、サイバーセキュリティ対策において徹底すべき10の重要項目を定義しています。
それぞれの項目を理解してサイバーセキュリティ対策に取り組むようにしましょう。自組織内のみで実施が難しい場合には、外部組織への委託を含めた検討が必要です。
項目1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
サイバーセキュリティ対策は、企業全体として取り組まなければ穴が生まれ、リスクを減らすことができません。
経営者がサイバーセキュリティ経営の宣言をおこなうとともに、組織全体のセキュリティポリシーを策定しましょう。
セキュリティポリシーを整備することで、組織の従業員教育やステークホルダーとのコミュニケーションの強化につながります。
項目2:サイバーセキュリティリスク管理体制の構築
サイバーセキュリティ対策の推進には、管理体制の構築が不可欠です。CISO(最高情報セキュリティ責任者)等を任命して、責任範囲を明確にしましょう。
取締役や監査役がサイバーセキュリティリスク管理体制を監査することも重要です。
また、財務リスクやコンプライアンスリスク等、他のリスクとの整合性をとる必要もあります。
項目3:サイバーセキュリティ対策のための資源(予算、人材等)確保
サイバーセキュリティ対策には、機器やサービスの導入・運用、従業員教育などといった資源が必要です。
資源が不足すればセキュリティ体制の維持が困難となるため、サイバーセキュリティ対策の予算確保と人材育成は優先的におこないましょう。
自組織内で人材の確保が難しい場合には、他組織への委託を含めて検討する必要があります。
項目4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
サイバーセキュリティ対策は、守るべき情報資産やリスクが把握できていないと適切な取り組みができません。
守るべき情報資産を特定するとともに、その情報資産がどこに保存されているのか、どういうサイバー攻撃を受ける恐れがあるのか、
被害を受けた場合はどんな影響があるかを確認し、リスク対応に関する計画を策定しましょう。
適切なリスクの把握や対応計画の策定が難しい場合は、専門ベンダーなどへの委託を含めた検討が必要です。
項目5:サイバーセキュリティリスクに対応するための仕組みの構築
サイバー攻撃への保護対策(検知・防御・分析)をおこなう仕組みを構築します。
仕組みには、IT機器やサービスの活用だけでなく、IT人材の育成も含まれます。
ログをもとにした検知やIT機器での防御、サイバー攻撃傾向の分析など、それぞれに必要な機器や運用人材を整えましょう。
セキュリティベンダーによる脆弱性診断やペネトレーションテストなどの活用も有効です。
項目6:サイバーセキュリティ対策におけるPDCAサイクルの実施
サイバーセキュリティ対策には、時間的なコストも多くかかります。
計画を立て着実に対策を推進するため、PDCAサイクルを回しながら取り組むようにしましょう。
取り組みの様子をステークホルダーに発信することで、コミュニケーションの強化にもつながります。
項目7:インシデント発生時の緊急対応体制の整備
インシデント発生時には、いかに影響範囲・損害の特定や被害拡大防止策を迅速にとれるかが重要です。
速やかな初動対応と着実な再発防止対策をおこなうために、CSIRT等の体制を整備しましょう。
CSIRT等の体制をステークホルダーに公開し、インシデント発生時に連携がとれるようにしておくことも必要です。
また、インシデント発生に備え、適宜実践的な演習に取り組むことも大切です。
項目8:インシデントによる被害に備えた復旧体制の整備
万一のインシデント発生に備え、企業への影響を加味した復旧目標の設定と、目標に向けた復旧手順や体制の整備をおこないます。
企業によってそれぞれの業務における重要度は異なるため、企業における業務の重要度をふまえ、BCPとの連携など、組織全体として整合のとれた復旧目標を設定することが重要です。緊急対応体制の整備も含め、適宜実践的な演習に取り組みましょう。
項目9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
サプライチェーン攻撃の被害を抑えるため、系列企業やビジネスパートナー、委託先など、サプライチェーン全体のサイバーセキュリティ対策および取り組み状況の把握をおこないます。ビジネスパートナーや委託先等においては、契約時にサイバーセキュリティ対策の内容とともに責任分界点を明確にしておくことが重要です。
また、企業選定の際には適宜ISMS(情報セキュリティマネジメントシステム)などのセキュリティマネジメント認証を参考にすると良いでしょう。
項目10:情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
日々進化するサイバー攻撃への対策には、多くの企業が情報共有活動に参加し、積極的に情報提供や情報入手をおこなうことが有効です。
IPAや一般社団法人JPCERTコーディネーションセンターでは、情報提供をもとに脆弱性や攻撃手法等の注意喚起をおこなっています。
自組織のセキュリティ対策に活用するとともに、積極的に情報提供をおこない、情報共有活動に参加しましょう。
◆サイバーセキュリティ経営ガイドラインVer2.0の活用方法
ここまで、サイバーセキュリティ経営ガイドラインの3原則と重要10項目を解説しましたが、自組織でまずどのように取り組めばいいのかを判断するのが難しいとお考えの方もいらっしゃるのではないでしょうか。
そこで活用できるのが、サイバーセキュリティ経営ガイドラインVer2.0の付録A「サイバーセキュリティ経営チェックシート」です。
チェックシートをもとに対策できている部分をチェックしていき、できていない部分は状況に応じて取り組み計画を立て、着実に対策を推進するようにしましょう。
◆サイバーセキュリティ経営ガイドラインVer2.0で期待できること
サイバーセキュリティ経営ガイドラインVer2.0をもとにサイバーセキュリティ対策をおこなうと、以下のような効果が期待できます。
組織のセキュリティに対する意識改革
企業戦略に基づくリスクマネジメントの実践
インシデント対応力や再発防止対策の強化
企業のブランド価値の向上
サイバーセキュリティ経営ガイドラインでは、対策が不足している場合の影響も述べられています。実際の影響を知ることで、組織のセキュリティに対する意識改革につながるとともに、企業戦略に基づくリスクマネジメントがおこなえるようになるでしょう。
また、サイバーセキュリティ経営ガイドラインをもとにセキュリティ対策に取り組めば、昨今のサイバーセキュリティ対策に欠かせないインシデント対応力や再発防止対策の強化、ステークホルダーとのコミュニケーション円滑化が図れ、企業のブランド価値の向上にもつながります。
◆サイバーセキュリティ経営ガイドラインVer2.0を見て対策の見直しを
サイバー攻撃が巧妙化かつ多様化し、被害が増加している昨今では、企業戦略としてサイバーセキュリティ対策に取り組むことが求められています。
経済産業省とIPAが共同で策定したサイバーセキュリティ経営ガイドラインVer2.0を活用し、サイバーセキュリティ対策の見直しをおこないましょう。
ひとたびサイバー攻撃の被害を受けると、業務停止による損失だけでなく、企業への信頼性低下など、企業経営への影響が非常に大きくなります。
そのため、サイバーセキュリティ経営ガイドラインに基づき、対策に必要となる機器やサービスの導入など、積極的なIT投資はおこなうべきです。
フォーティネットでは、あらゆる業種ごとに最適なサイバーセキュリティ対策が実施できるソリューションを提供しています。
教育、金融、医療、製造など、各企業ごとに適切なセキュリティソリューションについてご紹介しているので、ぜひご覧いただき少しでも気になることがあればお問合せください。
>製造分野のサイバーセキュリティについて
>教育分野のサイバーセキュリティについて
>学校/災害避難所のサイバーセキュリティについて
>金融サービスのサイバーセキュリティについて
>行政機関のサイバーセキュリティについて
>医療分野のサイバーセキュリティについて
>電力/公益事業のサイバーセキュリティについて