経済産業省は2023年3月24日、サイバー攻撃の多様化・巧妙化に伴って経営者が認識する必要がある事項等を取りまとめた「サイバーセキュリティ経営ガイドライン」を改訂したことを発表し、併せて「サイバーセキュリティ経営ガイドラインVer3.0」を公表した。同省は、企業がサイバー攻撃への対策強化や適切な対応が行えるよう、同ガイドラインの活用を呼びかけている。
サイバーセキュリティ関連被害への対策推進の必要性から改訂を実施
経済産業省は、独立行政法人情報処理推進機構(以下、IPA)とともに、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある事項などを取りまとめた「サイバーセキュリティが経営ガイドライン」を改訂し、Ver3.0を策定した。同ガイドラインについて、経産省は2015年にVer1.0を、2017年にVer2.0を策定し、普及・啓蒙活動を行ってきた。今では、組織的なサイバーセキュリティ対策実践の指針として、国内企業間でサイバーセキュリティ対策の共通言語としての役割を担っているという。しかし昨今、サイバー攻撃の多様化や巧妙化が進み、さらにはサプライチェーンを介したサイバーセキュリティ関連被害が拡大。サプライチェーン全体を通じた対策推進の必要性が高まってきている状況であるという。また、企業におけるサイバーセキュリティの対策では、組織幹部が自らの果たすべき役割を認識し、リーダーシップを発揮することが求められるようになっている。こうした背景を踏まえて同省は、さらなる対策強化や適切な対応の必要性が高まるとの考えのもと、有識者や関係者を交えた研究会を開催。同ガイドラインの改訂を行った。
今回の改訂で策定された「サイバーセキュリティ経営ガイドラインVer3.0」においても、Ver2.0で定められている「経営者が認識すべき3原則」と、「サイバーセキュリティ経営の重要10項目」の基本的な構成は維持されている。その上で、最新の状況を踏まえた対策の実践が可能となるよう、全体的に記載内容が見直されているとのことだ。なお、主な改訂ポイントは下記のとおり。
【改訂のポイント】
▼「経営者が認識すべき3原則」についての改訂
●取引関係にとどまらず、国内外のサプライチェーンでつながる関係者へのセキュリティ対策への目配り、総合的なセキュリティ対策の重要性、社内および社外関係者との積極的なコミュニケーションの必要性などを追加・修正。
▼「サイバーセキュリティ経営の重要10項目」についての改訂
●指示5(サイバーセキュリティリスクに効果的に対応する仕組みの構築)について、サイバーセキュリティリスクの識別やリスクの変化に対応した見直しや、クラウドなど最新技術とその留意点について追記・修正。
●指示8(インシデントによる被害に備えた事業継続・復旧体制の整備)について、事業継続の観点から、制御系も含めた業務復旧プロセスと整合性の取れた復旧計画・体制の整備、サプライチェーンも含めた実践的な演習の実施などについて追記・修正。
●指示9(ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把
握及び対策)について、サプライチェーンリスクへの対応に関しての役割・責任の明確化、対策導入支援など、サプライチェーン全体での方策の実効性を高めることについて追記・修正。
●指示10(サイバーセキュリティに関する情報の収集、共有及び開示の促進)について、有益な情報を得るためには適切な情報を提供することも必要であることを強調。被害の報告・公表への備えや、ステークホルダーへの情報開示について追記・修正。
▼「経営者が認識すべき3原則」についての改訂
●取引関係にとどまらず、国内外のサプライチェーンでつながる関係者へのセキュリティ対策への目配り、総合的なセキュリティ対策の重要性、社内および社外関係者との積極的なコミュニケーションの必要性などを追加・修正。
▼「サイバーセキュリティ経営の重要10項目」についての改訂
●指示5(サイバーセキュリティリスクに効果的に対応する仕組みの構築)について、サイバーセキュリティリスクの識別やリスクの変化に対応した見直しや、クラウドなど最新技術とその留意点について追記・修正。
●指示8(インシデントによる被害に備えた事業継続・復旧体制の整備)について、事業継続の観点から、制御系も含めた業務復旧プロセスと整合性の取れた復旧計画・体制の整備、サプライチェーンも含めた実践的な演習の実施などについて追記・修正。
●指示9(ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把
握及び対策)について、サプライチェーンリスクへの対応に関しての役割・責任の明確化、対策導入支援など、サプライチェーン全体での方策の実効性を高めることについて追記・修正。
●指示10(サイバーセキュリティに関する情報の収集、共有及び開示の促進)について、有益な情報を得るためには適切な情報を提供することも必要であることを強調。被害の報告・公表への備えや、ステークホルダーへの情報開示について追記・修正。
また、同ガイドラインと連携して用いることが可能なツールや、関連ガイドラインなどとの関係性の整理図を追加するなど、ガイドラインを利用する企業の利便性を高めるための改良も行ったとのことだ。さらに、本改訂に合わせ、IPAで掲載している「サイバーセキュリティ経営可視化ツール」も改訂されている。
デジタル環境の活用を前提とする働き方の多様化が進んでいることから、企業においては以前よりもサイバー攻撃のリスクにさらされることが多くなっているのが現状だろう。情報漏えいや情報資産を守るためには、具体的な対策を講じることが重要と考えられる。同ガイドラインや、「サイバーセキュリティ経営可視化ツール」を活用するなどし、サイバー攻撃などのリスクに備えたい。
