企業経営においてITを活用する場合、セキュリティ対策は不可欠です。本記事では、サイバー攻撃から企業活動を守るための3原則、およびセキュリティ対策担当者が押さえておくべき重要10項目からなる「サイバーセキュリティ経営ガイドライン」について解説します。
サイバーセキュリティ経営ガイドラインとは
サイバーセキュリティ経営ガイドラインとは、大企業・中小企業に向けて、経産省がIPA(独立行政法人 情報処理推進機構)とともに策定したセキュリティガイドラインです。近年増えつつあるサイバー攻撃から企業を守る目的で策定されました。初版は2015年(平成27年)に公開され、2022年(令和4年)4月現在、Ver.2.0が最新版となっています。
ガイドラインの構成としては、セキュリティ対策における経営者のリーダーシップ発揮の必要性を解説し、3原則・重要10項目・付録(チェックシート・参考資料など)と続きます。
本ガイドラインは経産省のサイトから無料で閲覧でき、セキュリティ対策の指針として利用可能です。
【経営者向け】サイバーセキュリティ経営ガイドラインの3原則
本ガイドラインでは、経営者が認識すべきものとされる3原則「リーダーシップの発揮」「サプライチェーン強化」「情報共有」が示されています。順に確認しましょう。
まず、ITの利活用においてサイバー攻撃は避けられず、適切な対応の可否が会社の命運を分けることから、セキュリティ投資は経営者としての責務です。そこでセキュリティ対策担当幹部を任命し、経営者がリーダーシップを発揮して対策コストを割くべし、というのが「リーダーシップの発揮」です。
次に、企業だけがセキュリティ意識を有するだけでは足りず、ビジネスパートナーや委託先まで含めたセキュリティ対策が求められます。これが「サプライチェーン強化」です。
さらに、万一の被害に際して関係者の不信感を拭うためにも、常日頃からのセキュリティ対策実施に関するコミュニケーションも欠かせません。これが「情報共有」です。
【担当者向け】サイバーセキュリティ経営ガイドラインの重要10項目
本ガイドラインには、経営者がセキュリティ担当幹部などへ向けて行うべきとされる10項目の指示が記載されています。こちらも確認していきましょう。
指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
経営者は、サイバーセキュリティリスクを経営リスクとして捉え、会社の対応方針を定めて宣言するよう担当者へ指示しなければなりません。これによりセキュリティ対策を会社全体で一貫させ、取引先や顧客といった関係者の信頼を高められるでしょう。具体的対応としては、事業ごとに合わせた対応方針の検討や従業員教育、対応方針の一般公開などが挙げられます。
指示2 サイバーセキュリティリスク管理体制の構築
会社としてサイバーセキュリティリスクを把握し、適切な管理体制を構築するよう指示する必要もあります。その際、ほかのリスク管理体制との不整合が生じないように注意しなければなりません。具体的対応としては、社内各関係者の責任範囲の明確化や、取締役や監査役による管理体制の監査などが挙げられます。
指示3 サイバーセキュリティ対策のための資源(予算、人材等)確保
経営者がサイバーセキュリティ対策を意識し、予算や人材などの確保や人材育成を行うよう指示することも重要です。これにより対策実施や外部委託を現実化します。具体的対応としては、必要なサイバーセキュリティ対策の明確化と実現費用の確保、研修予算の確保とセキュリティ教育の実施、信頼できる外部業者への委託などが考えられるでしょう。
指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
サイバー攻撃に対し、自社におけるどの情報をとくに守りたいかを把握し、過不足のないセキュリティ対策を行わねばなりません。このための計画策定を指示する必要もあります。具体的対応としては、守るべき情報の特定、それらが流出した場合の損害の算定、対策不要としたリスクの識別、法令上の取り扱いを踏まえた対策となっているかの確認などです。
指示5 サイバーセキュリティリスクに対応するための仕組みの構築
経営者は、サイバー攻撃の防御・検知・分析に関する対策の実施を担当者に指示する必要もあります。これらの対策が実施されることで、サイバー攻撃の状況を速やかに把握でき、被害の拡大も防げるのです。
指示6 サイバーセキュリティ対策における PDCA サイクルの実施
立案した計画の実施を確実なものとするため、PDCAサイクルの実施体制の構築を指示することも重要です。セキュリティ対策を定期的に見直すことで、最新の脅威にも対応できます。具体的対応としては、セキュリティリスクへの継続的な対応を可能とする体制の整備、リスク管理に関するKPI(重要業績評価指標)の設定、報告書へのセキュリティ対策の記載・開示などです。
指示7 インシデント発生時の緊急対応体制の整備
インシデントが発生した場合に備え、緊急対応体制の整備を指示する必要があります。平時の情報収集はもちろん、被害が生じた場合の通知先の確認などをしておくことで、有事の際に経営者が速やかに組織内外へ被害状況と対策を説明できるのです。具体的対応としては、サイバー攻撃を受けた際の証拠保全、再発防止や所轄省庁などへの報告の演習、緊急連絡網の作成・共有などが挙げられます。
指示8 インシデントによる被害に備えた復旧体制の整備
万一インシデントにより被害が生じた場合、どのようにして、いつまでに復旧させるかを定めておかねばなりません。そこで、復旧に向けた手順書の作成や、体制を整えるため動き出す指示をする必要があります。具体的対応としては、復旧を目的とする関係機関との連携、復旧対応担当者への演習などです。
指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
サイバーセキュリティ対策につき、系列企業やサプライチェーンを含めたPDCAの運用も指示しておく必要があります。これにより、ビジネスパートナーを踏み台にしたサイバー攻撃や関連企業への二次被害を防げるほか、緊急時の協力も得やすいでしょう。具体的対応としては、ビジネスパートナーなどとの契約時にサイバーセキュリティ対策の内容を明確化しておく、サイバー保険に加入している委託先を選ぶなどがあります。
指示10 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
経営者が、サイバー攻撃に関する情報共有の場への参加機会を担当者に提供することも大切です。社会全体でサイバー攻撃の手口や危険性を共有することにより、対応コストの低減につながります。
実践には「プラクティス集」の活用がおすすめ
これら3原則や10項目を具体的に実践するためのサポートとして、「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集」が公開されています。2022年(令和4年)4月現在、第3版が最新版です。たとえば、上述の10項目における「指示1」のプラクティスでは、以下のような例が掲載されています。
- リスクを認識するため、自社のみならず他社被害事例を報告した例
- 最新のサイバー攻撃に対する備えとして、セキュリティポリシーを改訂した例
- 海外拠点での情報保護につき、コンプライアンスを拠点別チェックリストで担保した例
「プラクティス・ナビ」でプラクティスを検索
本ガイドラインの内容を実践するにあたっては、過去事例に基づく実践手順や取り組みの例を検索できる、「プラクティス・ナビ」が活用できます。自社の直面する問題に対し、どのプラクティスを参照すべきかわからない場合に参考となるでしょう。
その他のセキュリティガイドライン一覧
このほか、総務省が提供しているものや、経済産業省・IPAが提供しているガイドラインもあります。それぞれの概要を簡単にご紹介します。
中小企業の情報セキュリティ対策ガイドライン
情報セキュリティ対策を行うにあたり、経営者が認識すべき指針と、社内で対策をする際の手順・手法をまとめたガイドラインです。経営者編と実践編から構成されています。
テレワークセキュリティガイドライン(総務省)
企業などがテレワークを安心して導入・活用するための指針として、テレワークに関するセキュリティ対策の考え方や対策例を示したガイドラインです。
中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(総務省)
中小企業などにおける、専任ではないシステム管理担当者を対象とした、テレワークを行う際に求められる最低限のセキュリティを確保するための手引きです。
まとめ
サイバー攻撃は年々多様化・巧妙化しており、セキュリティ体制の構築は今や経営リスクへの備えとして不可欠です。今回ご紹介したガイドラインの内容を踏まえ、万全な対策を整えましょう。併せて、Microsoft 365のようなセキュリティ性に優れたソリューションの導入もぜひ検討してみてください。