企業の経営者様向け「サイバーセキュリティ経営ガイドライン」

私が今学習中の『IPA情報セキュリティマネジメント試験』ですが、前回の記事で情報資産管理について書きました。

今回も『情報セキュリティマネジメント』について覚えたことをみなさんに紹介していけたら良いなと思っています。みなさんの頭の中でふんわりイメージが浮かぶと嬉しいです。

安心してインターネットを使うために、『情報セキュリティマネジメント』を少しでも身近に感じて頂ければ幸いです。

サイバーセキュリティ経営ガイドラインの背景と位置づけ

情報セキュリティを検討したい時、まず何をすれば良いのか迷ったら『サイバーセキュリティ経営ガイドライン』をご参考にして頂くと良いと思います。

このガイドラインは、経済産業省がIPAとともに策定した企業の経営者様向けのガイドラインとなっていて、具体的な情報セキュリティ対策の内容が掲載されています。

少し読み進めると、このガイドラインがつくられた「背景と位置づけ」がありました。次のように書かれています。（一部抜粋）

１．１．サイバーセキュリティ経営ガイドラインの背景と位置づけ

サイバー攻撃の発覚経緯の約半数は外部からの指摘によるものとなっており、実際にはサイバー攻撃による被害を受けていても、そのことに気づいていないという企業がまだ多数存在することが予想される。…

企業価値を高めるためにITを利活用したはずが、結果として、重大な損害を生じさせ、かえって企業の経営を揺るがす事態に発展することがありうる。…

サイバー攻撃は自分で気づくことができず、外部からの指摘で気づくことがあるそうです。IT資産を利用すると、とても便利になりますが、気が付かないうちに重大な損失を発生させる可能性もあるんですね。

組織の業務に欠かせないIT資産は、セキュリティ投資と併せての検討していく必要があると感じました。このガイドラインを参考に、さらに具体的な内容を確認していきたいと思います。

※このガイドラインの適用対象は、大企業及び中小企業（小規模事業者様を除く）を想定しているそうです。これからサイバーセキュリティ対策を進めたいという事業者や小規模事業者様向けには「中小企業の情報セキュリティ対策ガイドライン」が用意されています。こちらもご参考にしてみてください。

経営者が認識すべき3原則

『サイバーセキュリティ経営ガイドライン』は、経営者様のリーダーシップの下で体制整備や対策を進める方法や、社会や企業活動を行う上で関わるすべての人に対する情報開示の方法などを内容としています。

サイバー攻撃から企業を守る観点では、次の『経営者が認識すべき3原則』は特に大切なようです。

1、経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

2、自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーン※¹に対するセキュリティ対策が必要

3、平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

※¹サプライチェーン…製品の原材料・部品の調達から、製造、在庫管理、配送、販売、消費までの一連の流れ

自分の会社はもちろんの事、ビジネスパートナーや委託先を含めたサプライチェーンの事も把握し、さらに情報開示のことまで考える必要があるんですね。このガイドラインを参考にすることで、広い視野で対策を進めていくことができると思いました。

経営者が認識すべき3原則の具体例

前の項目に書いた3原則ですが、もう少し具体的なイメージを膨らませてみようと思います。

1、経営者様がリーダーシップをとったセキュリティ対策の推進

経営者様がサイバーセキュリティリスクを経営リスクの一つと認識して、組織全体での対応方針を作り宣言することによって、サイバーセキュリティ対策などの実行が組織の方針と一貫したものとなります。また、経営者様の宣言により、ブランド価値向上や、信頼性の向上も見込むことができます。

・ソフトバンク　情報セキュリティポリシー

・NTTグループ　情報セキュリティポリシー

この他にも、管理体制の構築、予算・人材の確保や、被害に備えた復旧体制の整備など、たくさんの具体例がガイドラインに掲載されています。中には法的な取り決めがあり、被害発覚後に所管官庁等への報告が義務付けられている場合もあり、速やかな通知をしない場合は罰則等を受ける場合もあるので注意が必要なものもあります。

2、サプライチェーン※¹セキュリティ対策の推進

製品の原材料・部品の調達から、消費までの一連の流れの中にあるビジネスパートナーや委託先において、適切なサイバーセキュリティ対策が行われていないと、これらの企業を踏み台にして自社が攻撃される可能性もあります。その結果、自社から他社へ二次被害を誘発して加害者になってしまうことも考えられます。また、攻撃の原因特定などの際に、これらの企業から協力を得られないことにより支障が生ずる場合も出てきます。

※¹サプライチェーン…製品の原材料・部品の調達から、製造、在庫管理、配送、販売、消費までの一連の流れ

ビジネスパートナーや委託先との契約の際は、サイバーセキュリティ対策について情報交換したり、セキュリティマネジメント認証の取得状況や、サイバー保険の加入状況などを把握することが重要になるそうです。

3、ステークホルダー※²を含めた関係者とのコミュニケーションの推進

情報共有活動へ参加することによって、他社における同様の被害を未然に防止することができます。情報共有ができないと、それぞれの企業において常に新しい攻撃として対応することになり、攻撃の防御、検知、分析などの対応コストが低減されません。情報入手と提供という双方向の情報共有を通じて、社会全体でサイバー攻撃の防御につなげることが重要となります。以下の機関では、脆弱性情報や重要なセキュリティ情報などが掲載されています。

・独立行政法人　情報処理推進機構（略称：IPA）

・一般社団法人　JPCERTコーディネーションセンター

・日本シーサート協議会

※²ステークホルダー…企業活動に関わるすべての人のこと。 地域住民、官公庁、研究機関、金融機関、従業員など
※ガイドラインには、重要10項目が掲載されていて「対策例」や対策に便利な「付録」も提示されています。
※内部犯行による情報漏えい等のリスク対処には、「組織における内部不正防止ガイドライン」が用意されています。

このガイドラインには「経営者様が認識すべき3原則」と、経営者様が担当幹部に指示すべき『サイバーセキュリティ経営の重要10項目（一部この記事に含みます）』があります。重要10項目は、指示したあと定期的に報告を受ける必要があるそうです。また、対応が困難な項目は外部委託による実施も検討する必要があるそうです。

『情報セキュリティマネジメント』を学習中の私が読んだ感想としては、ちょっとボリュームあって全部理解するには時間がかかるな…、と感じました。ですが、細かく網羅されいているこのガイドラインはとても便利だし、今後も必要に応じて参考にして行きたいと思いました。

情報セキュリティをご検討されている方は、漠然としていたセキュリティ対策がより具体的なイメージになると思います。一度ご覧になってみてはいかがでしょうか。

※このブログ記事は、「経済産業省 サイバーセキュリティ経営ガイドラインVer 2.0」を引用しています。

徹底攻略　情報セキュリティマネジメント教科書
株式会社わくわくスタディワールド 瀬戸美月／齋藤健一　著

弊社には「情報処理安全確保支援士（略して：登録セキスペ）」が在籍しています。
『情報セキュリティ』についてお困りの方は、弊社までお問い合わせください。
ご連絡お待ちしております。

記事の著者：izu

• サイバー攻撃
• 情報セキュリティ
• 脅威
• 脆弱性

この記事をSNSでシェアする！