経済産業省は、独立行政法人情報処理推進機構(IPA)と協力して、経営者がリーダーシップを取ってサイバーセキュリティ対策を推進するための指針として「サイバーセキュリティ経営ガイドライン」を2015年12月に策定。2017年11月に「Ver 2.0」として内容を改訂し、2023年3月に「Ver 3.0」が公開された(※)。
「サイバーセキュリティ経営ガイドライン」では、経営者のリーダーシップによってサイバーセキュリティ対策を推進するため、経営者が認識すべき3原則と、経営者がセキュリティの担当幹部(CISO等)に指示すべき重要10項目が提示されている。
Ver3.0改訂の背景には、ランサムウェア攻撃による企業の事業活動の停止への影響拡大や国内外のサプライチェーンを介したサイバーセキュリティ関連被害の拡大等の企業のサイバーセキュリティ対策を取り巻く環境における変化がある。Ver3.0では、Ver2.0で定められた「経営者が認識すべき3原則」と「サイバーセキュリティ経営の重要10項目」の基本的な構成を維持しつつ、最新の状況への認識とた施策の実践が可能となるよう、記載内容の見直しが行われた。
また、ガイドラインには「付録C サイバーセキュリティインシデントに備えるための参考情報」という付録がある。この付録には、インシデント発生時、原因調査等を行う際に組織内で整理しておくべき事項が示されている。どこから、どのように、どこまで取り組む必要があるのか、手探り状態でなかなかセキュリティ対策が進まないという経営者は、このガイドラインを大いに参考にしたい。
インシデントへの対応力、対策の継続的改善といった観点だけでなく、系列企業やサプライチェーンまで含めた対策の強化、必要な情報の開示、関係者との適切なコミュニケーション等により、ステークホルダーからの信頼を高めることにも繋がるだろう。
※2024年2月現在
