特集

サイバーセキュリティ経営ガイドライン Ver.2.0

2017年11月16日、経済産業省より「サイバーセキュリティ経営ガイドラインVer.2.0」が公表されました。
http://www.meti.go.jp/press/2017/11/20171116003/20171116003.html

○ガイドラインの背景
昨今サイバー攻撃は更に巧妙化しており、防御が難しく、サイバー攻撃を受けていること自体に企業が自ら気づかないケースも増えるなど、事前対策だけでは対処が困難となってきています。

特に、日本を含むアジア諸国は世界の平均よりもサイバー攻撃の発見に時間を要する傾向にあります。一方、米欧では、こうした状況を踏まえて対処方針の見直しが進められ、事後対策を企業に求めるなど、検知・対応・復旧といった事後対策の取組にも重点が置かれるようになっています。

サイバーセキュリティ経営ガイドラインは、サイバー攻撃から企業を守る観点で、経営者が認識するべき「3原則」と、経営者がセキュリティ対策について指示するべき「重要10項目」をまとめたものです。そのサイバーセキュリティ経営ガイドラインを、冒頭の記載の理由により、今般改訂が行われました。

 

○主な改訂内容
サイバーセキュリティ経営ガイドライン Ver.2.0では、経営者が認識すべき「3原則」は維持しつつ、担当幹部へ指示するべき「重要10項目」について、主に変更が行われました。具体的な改訂ポイントは次のとおりです。

1.指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
セキュリティバイデザイン(システムやソフトウェアの企画・設計、開発の段階からセキュリティ対策を組み込む考え方)の観点を踏まえて規格・設計段階からサイバーセキュリティ対策を考慮する。

2.指示5:サイバーセキュリティリスクに対応するための仕組みの構築
アクセスログや通信ログ等からサイバー攻撃を監視・検知する仕組みを構築し、適切に対処できる体制を整える。

3.指示8:インシデントによる被害に備えた復旧体制の整備
・サイバー攻撃により業務停止に至った場合、速やかに復旧するため、関係機関との連携や復旧作業を実施できるよう指示する。
・組織全体として整合のとれた復旧目標計画を定め、適宜実践的な演習を実施する。

4.指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
監査の実施や対策状況の把握を含むサイバーセキュリティ対策のPDCAについて、系列企業、サプライチェーンのビジネスパートナーやシステム管理の運用委託先等を含めた運用を行う。

 

○経営戦略としてのセキュリティ投資
ITの利活用はビジネスの必須条件となっており、業務プロセス・提供商品等のさまざまな局面でITの活用が進んでいます。

しかしながら、ITを活用したシステムが1つ生まれるということは、サイバー攻撃の対象物が1つ生まれることと同義です。ひとたび情報漏えいやサービス停止といった被害に見舞われれば、取引停止・損害賠償・営業機会損失・ブランド低下など、長期的な経営損失を受けることが想定され、企業にとって大きなリスクとなっています。

セキュリティ投資はそうした損失から守るものであると同時に、収益を生み出すITシステムの「安心・安全」を確保する重要な要素となります。セキュリティ対策を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけた「投資」と捉えることが重要といえます。