サイバーセキュリティ経営ガイドラインVer3.0がリリース 改訂のポイントと具体的な対策とは

2023年3月24日、「サイバーセキュリティ経営ガイドライン Ver3.0」がリリースされました。※1 ※2

企業を狙うサイバー攻撃が高度化・巧妙化する中、企業戦略としてITやセキュリティにどの程度投資をするか経営者の判断が必要です。経産省では、経営者のリーダーシップの下、サイバーセキュリティ対策を推進するよう、「サイバーセキュリティ経営ガイドライン」を策定しています。

今回の改訂により、経営者が認識する必要のある「3原則」、及び経営者がセキュリティ責任者となる担当幹部(CISO等)に指示すべき「重要10項目」がともに修正されました。本コラムでは、改訂で修正された内容についてみていきたいと思います。

サイバーセキュリティ経営ガイドラインとは

サイバーセキュリティ経営ガイドラインは経済産業省が独立行政法人情報処理推進機構(IPA)とともに作成した、サイバーセキュリティに関する経営層向けのガイドラインです。多様化・巧妙化するサイバー攻撃から企業を守るため、「経営者が認識すべき3原則」および「サイバーセキュリティ経営の重要10項目」などがまとめられています。本ガイドラインは企業経営者のリーダーシップのもと、組織的にサイバーセキュリティ対策を実践するための指針となります。

2015年12月にVer1.0が公開されて以降、数度の改訂を経て、2023年3月にVer3.0がリリースされました。

Ver3.0での主な変更点

Ver3.0では、下記の内容を踏まえ、見直しが行われています。

(1) デジタル環境の活用を前提とする働き方の多様化(テレワーク等)

(2) サイバー空間とフィジカル空間との繋がりの強化と、それに伴うリスクの顕在化

(3) サイバーセキュリティの対象の変化・拡大(制御系を含むデジタル基盤も対象に)

(4) 情報漏洩だけでなく事業活動の停止も被害の対象に(ランサムウェア等)

(5) サプライチェーン全体を通じた対策の必要性

(6) コーポレートガバナンス及びエンタープライズリスクマネジメントの改善に向けた取組への関心の高まり

サイバーセキュリティ経営ガイドラインVer3.0 p3より一部改変

経営者が認識すべき3原則についての追記・修正

1経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
2自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
3平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
Ver2.0 における3原則
1経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
2サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
3平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要
Ver3.0 における3原則

今回の追記・改訂により、経営者の責務としてサイバーセキュリティに関する残留リスクを許容水準まで低減する旨が記載されました。また、自社だけではなくサプライチェーン全体にわたるセキュリティ対策への目配り・俯瞰的・総合的な対策の重要性や、平時における社内関係者への積極的なコミュニケーションの必要性についても記載されています。

サイバーセキュリティ経営の重要10項目についての追記・修正

指示1サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2サイバーセキュリティリスク管理体制の構築
指示3サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5サイバーセキュリティリスクに対応するための仕組みの構築
指示6サイバーセキュリティ対策における PDCA サイクルの実施
指示7インシデント発生時の緊急対応体制の整備
指示8インシデントによる被害に備えた復旧体制の整備
指示9ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
指示10情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
Ver2.0 における重要10項目
指示1サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2サイバーセキュリティリスク管理体制の構築
指示3サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5サイバーセキュリティリスクに効果的に対応する仕組みの構築
指示6PDCA サイクルによるサイバーセキュリティ対策の継続的改善
指示7インシデント発生時の緊急対応体制の整備
指示8インシデントによる被害に備えた事業継続・復旧体制の整備
指示9ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
指示10サイバーセキュリティに関する情報の収集、共有及び開示の促進
Ver3.0 における重要10項目

今回の追記・修正は主に以下の内容について行われています。

指示5:サイバーセキュリティリスクの識別やリスクの変化に対応した見直し、クラウド等最新技術とその留意点などについての追記・修正

指示8:事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備やサプライチェーンも含めた実践的な演習の実施等についての追記・修正

指示9:サプライチェーンリスクへの対応に関しての役割・責任の明確化、対策導入支援などサプライチェーン全体での方策の実効性を高めることについての追記・修正

指示10:有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることやステークホルダーへの情報開示についての追記・修正

その他、全体的な見直しが行われています。

サイバーセキュリティ対策の実施は経営者の責務

今回の改訂では、サイバーセキュリティリスクを組織の経営リスクの一環として認識していくことの必要性や、コストや損失を減らすための必要不可欠な投資であること、さらに残留リスクを許容可能な水準まで低減することは企業として果たすべき社会的責任であるとまで記載されるようになりました。

サイバーセキュリティ対策は利便性とトレードオフの関係と捉えられることが多いため、現場レベルで取り入れるのは難しく、経営者が積極的に働きかけなければいつまで経っても推進されません。今回の改訂を契機に改めて自社のセキュリティ対策について見直すべきでしょう。

なお、ガイドライン内に記載の「サイバーセキュリティ経営の重要10項目 指示5『サイバーセキュリティリスクに効果的に対応するための仕組みの構築』 」では、サイバーセキュリティリスクに対する対策例が示されていますが、その中の一つに下記の対策があります。

『営業秘密や機微性の高い技術情報、個人情報などの重要な情報については暗号化や電子署名など、情報を保護する仕組みや、改ざん検知の仕組みを導入する』

弊社のファイル暗号化ソフト『DataClasys』は電子政府推奨暗号リストに記載の暗号技術を利用した強固な暗号化により、サイバー攻撃による窃取や内部不正などのセキュリティリスクから企業の重要なデータの漏洩を防ぎます。

具体的な漏洩対策を検討する上で、ファイル暗号化についてご興味がございましたら是非お問い合わせ下さい。

参考

※1 サイバーセキュリティ経営ガイドラインと支援ツール | 経済産業省 2023年3月24日

※2「サイバーセキュリティ経営ガイドライン」を改訂しました | 経済産業省 2023年3月24日