第5回 企業経営とサイバーセキュリティ 経営者なら、これだけは押さえておきたい! 「サイバーセキュリティ経営ガイドライン」ポイント解説

  • 本コラムで扱っているサイバーセキュリティ経営ガイドラインは、2017年11月16日にVer.2.0へ改訂されました。本コラムは、2017年1月時点(Ver1.1)の情報で作成しております。

ITの利活用なくして業務やサービスが成り立たない今、経営リスクとして看過できなくなっているのがサイバー攻撃です。大企業ではないから「盗まれるような大した情報はない」「狙われるような理由はない」という思い込みは危険です。民間、公的機関を問わず、規模に関わらず、サーバ攻撃の被害は急速に広がっています。「明日は我が身」という危機意識を強く持つ必要があります。

しかし経営者からは、

  • 予算が厳しく、現状維持がやっとで、必要な対策を講じることができない
  • どこから、どのように取り組んでいけばよいか分からない
  • 最低限何をどのくらい実施し、どの程度の費用をかけるべきか
  • セキュリティ対策の投資効果をどう判断するか難しい

といった声も聞かれます。

経済産業省はそのような経営者に向けて、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するための「サイバーセキュリティ経営ガイドライン(Ver.1.1)」を策定しました。
本コラムでは、このガイドラインの要点について紹介していきます。

「サイバーセキュリティ経営ガイドライン(Ver.1.1)」とは

「サイバーセキュリティ経営ガイドライン」「サイバーセキュリティ経営ガイドライン(Ver1.1)」
平成28年12月8日公開

※平成27年12月28日公開の旧版(Ver1.0)から一部改訂

「サイバーセキュリティ経営ガイドライン(Ver.1.1)」は、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進していくための指針となるものです。
経営者が認識すベき「3原則」と、経営者がセキュリティの担当幹部(CISO等)に指示をすベき「重要10項目」が提示されています。
また、「望ましい技術対策と参考文献」「用語の定義」などが付録として提供されています。

ポイント

  1. 国による経営者向けの指針は初!
  2. 自社のみでなく系列企業・ビジネスパートナーの対策の必要性を記載
  3. ガイドライン順守による各種効果

    例えば…

    • 情報漏えい発生時、ガイドライン順守度合いで経営層の免責の可能性
    • 「攻めのIT経営銘柄」の評価にガイドラインの順守度合いを加点される可能性
    • 政府調達でも活用の可能性
    • サイバーリスク保険料の減額の可能性
  • CISO:最高情報セキュリティ責任者(企業内で情報セキュリティを統括する担当役員等)を指す

ガイドラインの概要 ~3原則と重要10項目~

ガイドラインでは、サイバーセキュリティは経営問題であることを踏まえ、経営者が認識すべき「サイバーセキュリティ経営の3原則」、担当幹部に指示すべき「サイバーセキュリティ経営の重要10項目」を提示しています。その要点を以下にまとめてみました。

経営者が認識すべき「3原則」

経営者のリーダーシップ

経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

ビジネスパートナーを含めた対策

系列企業やビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要

適切なコミュニケーション

平時及び緊急時のいずれにおいても、情報の開示など、関係者との適切なコミュニケーションが必要

経営者が担当幹部(CISO等)に指示すべき「重要10項目」

カテゴリー 指示すべき項目の要点
1 リーダーシップの表明と体制の構築 方針(セキュリティポリシー)の策定と宣言
2 サイバーセキュリティ管理体制の構築
3 リスク管理の枠組み決定 リスクの洗い出しと対処計画の策定
4 PDCAの実施と対策の開示
5 ビジネスパートナーを含めた対策実施
6 攻撃を防ぐための事前対策 予算・人材等のリソースの確保
7 ITシステム管理委託先のセキュリティ確保
8 攻撃情報の入手と共有のための環境整備
9 攻撃を受けた場合に備えた準備 緊急時の対応体制の整備、演習の実施
10 情報開示や、経営者による説明に向けた準備

サイバーセキュリティ経営 重要10項目の要点

経営者が担当責任者に対して指示し、着実に実施することが必要とされている「重要10項目」について、ガイドライン記載内容を基に、背景と対策例のポイントを以下にまとめてみました。

1. サイバーセキュリティリスクの認識、組織全体での対応の策定

なぜ重要か 背景

  • 対応策の内容は、全社員への周知、徹底なくして有効なものになりません。
  • そこでガイドラインでは、経営者がトップダウンで全社員に周知徹底させることを求めています。

何をするか 対策例のポイント

  • 経営者が組織全体の対応方針を組織の内外に宣言できるよう、企業の経営方針と整合を取り、サイバーセキュリティリスクマネジメントを考慮したセキュリティポリシーを策定

2. サイバーセキュリティリスク管理体制の構築

なぜ重要か 背景

  • 日本では、IT部門の最高責任者に執行責任がない、リソースを確保する権限がない、CISO(最高情報セキュリティ責任者)を設置している企業が少ないといった状況が見られます。
  • そこでガイドラインでは、必要な局面において適切な対応ができる管理体制の構築を求めています。

何をするか 対策例のポイント

  • 組織内に経営リスクに関する委員会を設置
  • CISO等を任命し、組織内サイバーセキュリティリスク管理体制を構築
  • CISO等には、緊急時のシステム停止等の経営者レベルの権限を付与することなどを検討
  • 取締役、監査役による管理体制(構築・運用)の監査

3. サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定

なぜ重要か 背景

  • 守るべき資産(重要情報や個人情報など)を予め特定していなかった場合、緊急時の対応を速やかに判断できず、非効率な対策しか提示できません。
  • そこでガイドラインでは、守るべき資産を特定させてから、リスク対策を実施することを求めています。

何をするか 対策例のポイント

  • 戦略上重要な秘密情報の流出による損害など、サイバー攻撃に伴うリスクを識別
  • セキュリティの三要件(機密性、完全性、可用性)の観点からリスクを分析
  • サイバー保険の活用、専門企業への委託等が可能なものについてリスク対応策を実施

    • ソフトウェア更新の徹底
    • マルウェア対策ソフトの導入などによるマルウェア感染リスク低減策の実施
    • 暗号化や情報資産別のネットワークの分離等の実施

4. サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示

なぜ重要か 背景

  • 環境や事業の変化に合わせて、対策の点検や改善を継続していない場合、新たな脅威に対抗できなくなる恐れがあります。
  • そこでガイドラインでは、サイバーセキュリティ対策をPDCAとして実施するよう求めています。

何をするか 対策例のポイント

  • サイバーセキュリティリスクに継続して対応可能なPDCA実施体制を整備
  • 新たな環境変化によるサイバーセキュリティリスクが生じていないかを確認
  • 必要に応じて監査を受け、現状の対策の問題点を検出し、改善を実施
  • 新たなサイバーセキュリティリスク発見等があった場合には対処方針の修正を速やかに指示
  • 情報セキュリティ報告書・CSR報告書・有価証券報告書等での情報開示を検討

5. 系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握

なぜ重要か 背景

  • 系列会社や、サプライチェーンのビジネスパートナーがサイバー攻撃に対して無防備であった場合、これらの企業を踏み台に自社が攻撃を受けたり、自社から提供した重要情報が流出してしまう恐れがあります。
  • そこでガイドラインでは、ビジネスパートナーを含めたセキュリティ対策の徹底を求めています。

何をするか 対策例のポイント

  • 系列企業やビジネスパートナーのサイバーセキュリティ対策の内容を契約書等で合意し、対策状況を監査報告などで把握

6. サイバーセキュリティ対策のための資源(予算、人材等)確保

なぜ重要か 背景

  • 深刻な事態が起こった場合、企業として迅速かつ適切な対応ができるか否かが会社の命運を分けます。
  • そこでガイドラインでは、サイバーセキュリティ対策のための予算を確保することを求めています。

何をするか 対策例のポイント

  • 必要な事前対策を明確にし、それに要する費用を明らかにし、予算として承認
  • 従業員向け研修等のための予算を確保し、継続的にセキュリティ教育を実施
  • 専門セキュリティベンダの活用を検討
  • 人事部門へセキュリティ人材育成、キャリアパス構築を指示

7. ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保

なぜ重要か 背景

  • ITシステム管理の委託先がサイバー攻撃に対して無防備であった場合、自社から提供した重要な情報が流出してしまう恐れがあります。
  • そこでガイドラインでは、委託先を含めたセキュリティ対策の徹底を求めています。

何をするか 対策例のポイント

  • 各対策項目を自組織で対応できるかどうか整理
  • セキュリティレベルを契約書等で合意し、それに基づいて監査を実施
  • 個人情報や技術情報などを預ける場合は、安全性の確保が可能であるかどうかを定期的に確認

8. 情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備

なぜ重要か 背景

  • 特定組織や業界を狙った標的型攻撃メール攻撃などによる深刻な事態が発生しています。
  • このようなサイバー攻撃は企業独自の対策だけでは解決が難しいものです。
  • そこでガイドラインでは、情報を入手するのみならず、積極的な情報提供が望ましいとしています。

何をするか 対策例のポイント

  • IPAやJPCERTコーディネーションセンター等の注意喚起情報などの活用
  • 日本シーサート協議会等への参加による情報収集
  • J-CSIPなどの情報共有の仕組みの活用(重要インフラ事業者の場合)

9. 緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施

なぜ重要か 背景

  • 緊急時の対応体制が整備されていないと速やかな原因特定、応急処置を取ることはできません。
  • そこでガイドラインでは、対応体制の整備、被害特定のための準備、演習の実施などを求めています。

何をするか 対策例のポイント

  • 企業の組織に合わせた緊急時における対応体制を構築
  • 関係機関との連携や、ログの調査を速やかにできるようにしておくよう指示
  • サイバー攻撃に対応する演習を実施
  • 緊急連絡網を整備
  • 緊急時、組織内各部署が速やかに協力できるよう予め取り決め
  • 訓練においてはプレスリリースの発出、所管官庁等への報告手順も想定

10. 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

なぜ重要か 背景

  • インシデントが発生した際に、時機を失せず監督官庁、顧客や取引先に報告することが重要です。
  • そこでガイドラインでは、そのための体制整備を求めています。

何をするか 対策例のポイント

  • 通知先の一覧や通知用のフォーマットを作成し、対応メンバーで共有、情報開示手段を確認
  • 関係法令を確認し、法的義務が履行されるよう手続きを確認
  • インシデントに関する被害状況、他社への影響などを経営者に報告
  • インシデントについては、ステークホルダーの影響を考慮し、速やかに公表

ガイドラインの適用効果

サイバーセキュリティ対策の指針としてガイドラインを適用することで以下のような効果が期待できます。

組織の意識改革

経営者がサイバーセキュリティリスクマネジメントの方針(セキュリティポリシー)を策定し、宣言することにより、組織全員に周知することができます。

リスクマネジメントの実践

技術的観点と事業戦略の観点からサイバーセキュリティリスクを捉えることで、企業戦略に基づいたリスクマネジメントを行うことができるようになります。

インシデント対応力の強化

インシデントが発生した場合、被害状況の把握、原因究明、被害低減に向けた手法、インシデント再発防止に向けた対策など、一連の取り組みを組織的に実施する体制づくりができます。

組織の継続的改善

サイバーセキュリティリスクに継続して対応可能なPDCA実施体制を整備することにより、サイバー攻撃を巡る環境の変化、最新の脅威などへの対策が適宜可能になります。

企業ブランド価値の向上

経営者がサイバーセキュリティに対する取り組みを宣言することにより、ステークホルダー(株主、顧客、取引先などの)の信頼性を高め、ブランド価値向上につなげることができます。

掲載日:2017年1月25日

情報セキュリティコラムThe ANGLE情報漏えい対策の視角

セミナー・イベント情報

現在ご案内中のイベント・セミナーはございません。

資料ダウンロード

企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。

漏えいリスクから企業の情報資産を守る

情報漏えい対策ソリューションリーフレット

情報漏えい対策ソリューションリーフレット

本サイトに掲載しているソリューションをA4裏表でコンパクトにまとめたご紹介リーフレット。

(A4・全2ページ)

情報セキュリティ対策の特集/業界トレンド情報をご提供

ホワイトペーパー

  • IT部門 意思決定者を対象とした調査結果レポート

    IT部門 意思決定者を対象
    とした調査結果レポート

    (A4/全8ページ)
  • 「終わりなきITセキュリティ対策」に必要な2つの視点とは

    「終わりなきITセキュリティ対策」
    に必要な2つの視点とは

    (A4/全4ページ)
  • 21世紀のセキュリティにAIが果たす役割

    21世紀のセキュリティに
    AIが果たす役割

    (A4/全6ページ)

情報漏えい対策ソリューション

製品ご紹介リーフレット

本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。

  • Check Point Media Encryption リーフレット

    Check Point Media Encryption(A4・全2ページ)

  • Check Point Full Disk Encryption リーフレット

    Check Point Full Disk Encryption(A4・全2ページ)

  • NonCopy2 リーフレット

    NonCopy2(A4・全2ページ)

  • 4thEye Professional リーフレット

    4thEye Professional(A4・全2ページ)

  • Tripwire Enterprise リーフレット

    Tripwire Enterprise(A4・全2ページ)

  • CylancePROTECT リーフレット

    CylancePROTECT(A4・全2ページ)

  • Webコンテンツ保護・情報漏えい対策ソリューション リーフレット

    Webコンテンツ保護・情報漏えい対策ソリューション(A4・全4ページ)

漏えいリスクから企業の資産を守る

情報漏えい
対策ソリューション

NECソリューションイノベータの情報漏えい対策ソリューションは、
「内部からの情報漏えい」と「外部からの悪意ある攻撃」2つのリスクに着目し、
お客様の環境、ご要望に沿ったセキュリティ強化対策を、導入のご相談から運用に至るまでワンストップでご提供。お客様の情報資産を安全かつ強固にお守りします。

情報漏えい対策をお考えの企業様へ

お問い合わせ・ご相談フォーム

「すでにセキュリティ対策はしているつもりだが、対策に漏れがないか不安だ」
「セキュリティをより強固にするため複数の施策を組み合わせたいが、機能の重複などがあって迷っている」
など、情報漏えい対策についてのご質問・ご相談などございましたら、何でもお気軽にお問い合わせください。