NECソリューションイノベータ

経営者のリーダーシップ

経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

ビジネスパートナーを含めた対策

系列企業やビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要

適切なコミュニケーション

平時及び緊急時のいずれにおいても、情報の開示など、関係者との適切なコミュニケーションが必要

なぜ重要か　背景

• 対応策の内容は、全社員への周知、徹底なくして有効なものになりません。
• そこでガイドラインでは、経営者がトップダウンで全社員に周知徹底させることを求めています。

何をするか　対策例のポイント

• 経営者が組織全体の対応方針を組織の内外に宣言できるよう、企業の経営方針と整合を取り、サイバーセキュリティリスクマネジメントを考慮したセキュリティポリシーを策定

なぜ重要か　背景

• 日本では、IT部門の最高責任者に執行責任がない、リソースを確保する権限がない、CISO(最高情報セキュリティ責任者)を設置している企業が少ないといった状況が見られます。
• そこでガイドラインでは、必要な局面において適切な対応ができる管理体制の構築を求めています。

何をするか　対策例のポイント

• 組織内に経営リスクに関する委員会を設置
• CISO等を任命し、組織内サイバーセキュリティリスク管理体制を構築
• CISO等には、緊急時のシステム停止等の経営者レベルの権限を付与することなどを検討
• 取締役、監査役による管理体制(構築・運用)の監査

なぜ重要か　背景

• 守るべき資産(重要情報や個人情報など)を予め特定していなかった場合、緊急時の対応を速やかに判断できず、非効率な対策しか提示できません。
• そこでガイドラインでは、守るべき資産を特定させてから、リスク対策を実施することを求めています。

何をするか　対策例のポイント

• 戦略上重要な秘密情報の流出による損害など、サイバー攻撃に伴うリスクを識別
• セキュリティの三要件(機密性、完全性、可用性)の観点からリスクを分析

• サイバー保険の活用、専門企業への委託等が可能なものについてリスク対応策を実施

  • →ソフトウェア更新の徹底
  • →マルウェア対策ソフトの導入などによるマルウェア感染リスク低減策の実施
  • →暗号化や情報資産別のネットワークの分離等の実施

なぜ重要か　背景

• 環境や事業の変化に合わせて、対策の点検や改善を継続していない場合、新たな脅威に対抗できなくなる恐れがあります。
• そこでガイドラインでは、サイバーセキュリティ対策をPDCAとして実施するよう求めています。

何をするか　対策例のポイント

• サイバーセキュリティリスクに継続して対応可能なPDCA実施体制を整備
• 新たな環境変化によるサイバーセキュリティリスクが生じていないかを確認
• 必要に応じて監査を受け、現状の対策の問題点を検出し、改善を実施
• 新たなサイバーセキュリティリスク発見等があった場合には対処方針の修正を速やかに指示
• 情報セキュリティ報告書・CSR報告書・有価証券報告書等での情報開示を検討

なぜ重要か　背景

• 系列会社や、サプライチェーンのビジネスパートナーがサイバー攻撃に対して無防備であった場合、これらの企業を踏み台に自社が攻撃を受けたり、自社から提供した重要情報が流出してしまう恐れがあります。
• そこでガイドラインでは、ビジネスパートナーを含めたセキュリティ対策の徹底を求めています。

何をするか　対策例のポイント

• 系列企業やビジネスパートナーのサイバーセキュリティ対策の内容を契約書等で合意し、対策状況を監査報告などで把握

なぜ重要か　背景

• 深刻な事態が起こった場合、企業として迅速かつ適切な対応ができるか否かが会社の命運を分けます。
• そこでガイドラインでは、サイバーセキュリティ対策のための予算を確保することを求めています。

何をするか　対策例のポイント

• 必要な事前対策を明確にし、それに要する費用を明らかにし、予算として承認
• 従業員向け研修等のための予算を確保し、継続的にセキュリティ教育を実施
• 専門セキュリティベンダの活用を検討
• 人事部門へセキュリティ人材育成、キャリアパス構築を指示

なぜ重要か　背景

• ITシステム管理の委託先がサイバー攻撃に対して無防備であった場合、自社から提供した重要な情報が流出してしまう恐れがあります。
• そこでガイドラインでは、委託先を含めたセキュリティ対策の徹底を求めています。

何をするか　対策例のポイント

• 各対策項目を自組織で対応できるかどうか整理
• セキュリティレベルを契約書等で合意し、それに基づいて監査を実施
• 個人情報や技術情報などを預ける場合は、安全性の確保が可能であるかどうかを定期的に確認

なぜ重要か　背景

• 特定組織や業界を狙った標的型攻撃メール攻撃などによる深刻な事態が発生しています。
• このようなサイバー攻撃は企業独自の対策だけでは解決が難しいものです。
• そこでガイドラインでは、情報を入手するのみならず、積極的な情報提供が望ましいとしています。

何をするか　対策例のポイント

• IPAやJPCERTコーディネーションセンター等の注意喚起情報などの活用
• 日本シーサート協議会等への参加による情報収集
• J-CSIPなどの情報共有の仕組みの活用(重要インフラ事業者の場合)

なぜ重要か　背景

• 緊急時の対応体制が整備されていないと速やかな原因特定、応急処置を取ることはできません。
• そこでガイドラインでは、対応体制の整備、被害特定のための準備、演習の実施などを求めています。

何をするか　対策例のポイント

• 企業の組織に合わせた緊急時における対応体制を構築
• 関係機関との連携や、ログの調査を速やかにできるようにしておくよう指示
• サイバー攻撃に対応する演習を実施
• 緊急連絡網を整備
• 緊急時、組織内各部署が速やかに協力できるよう予め取り決め
• 訓練においてはプレスリリースの発出、所管官庁等への報告手順も想定

なぜ重要か　背景

• インシデントが発生した際に、時機を失せず監督官庁、顧客や取引先に報告することが重要です。
• そこでガイドラインでは、そのための体制整備を求めています。

何をするか　対策例のポイント

• 通知先の一覧や通知用のフォーマットを作成し、対応メンバーで共有、情報開示手段を確認
• 関係法令を確認し、法的義務が履行されるよう手続きを確認
• インシデントに関する被害状況、他社への影響などを経営者に報告
• インシデントについては、ステークホルダーの影響を考慮し、速やかに公表