「サイバーセキュリティ経営ガイドライン」公開

昨年末、経済産業省と独立行政法人情報処理推進機構（IPA）は「サイバーセキュリティ経営ガイドライン」を策定したことを発表しました。
ビジネスの様々な局面でITの利活用は不可欠である一方、企業が保有する個人情報や技術情報等の重要情報を狙うサイバー攻撃は増加かつ巧妙化しています。こうしたサイバー攻撃から企業を守るためのITやセキュリティに関する投資や施策は重要な経営課題の一つと言われて久しいですが、その対応状況や危機意識は企業によってまちまちであるのが実情です。
今回策定された「サイバーセキュリティ経営ガイドライン」は、特に、

ITに関するシステムやサービス等を供給する企業
経営戦略上ITの利活用が不可欠である企業

の経営者を対象として、経営者のリーダーシップの下でサイバーセキュリティ対策を推進するために策定されました。
今回は「サイバーセキュリティ経営ガイドライン」の内容を確認していきます。

ガイドラインの構成

「サイバーセキュリティ経営ガイドライン」は、以下のような構成となっています。

「サイバーセキュリティ経営の3原則」：経営者が認識すべき事項
「サイバーセキュリティ経営の10項目」：経営者が担当に指示すべき事項

「サイバーセキュリティ経営の３原則」

サイバー攻撃から企業を守る、という観点で経営者が認識すべき原則であり、この原則に基づいてサイバーセキュリティ対策を進めることが必要です。

原則１：経営者は、IT活用を推進する中でサイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

近年の企業経営において、投資判断を行う際に投資対効果などの定量的指標を判断材料にするケースが多いですが、セキュリティ分野においてはセキュリティ投資に対するリターンの定量的な算出はほぼ不可能です。そのため、特に定量的指標を判断材料として重視する経営層や組織では、追加的なセキュリティ投資の申請や承認がされにくい状況にあります。一方で、サイバー攻撃などによる情報漏えい等の事態が発生した場合、実被害だけでなく、当該企業がそもそもどのような対策を行っており、事態に対して迅速かつ適切な対応がされたか否かが重要なインパクトを与えうる可能性があります。
このため、経営リスクの一つとして、サイバーセキュリティリスクの重大性を適切に認識し、経営者自らがリーダーシップを発揮し、必要なレベルのリソースを用いて対策を講じることが重要です。

原則２：自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、 ITシステム管理の委託先を含めたセキュリティ対策が必要

自社の事業活動は必ずしも自社内部で完結する訳ではなく、子会社や様々な業務を委託するビジネスパートナー、あるいはこうした企業を連携するネットワークや情報システムの開発、運用会社等が相互に関連して成立しています。こうした関係する会社間では、顧客情報や技術情報などの重要情報が日々行き交っており、自社以外の場所から漏えいするリスクも想定しなければなりません。
そのため、サイバーセキュリティ対策の対象範囲としては上記の関係企業すべてを含めて検討する必要があります。

原則３：平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示ななど、関係者との適切なコミュニケーションが必要

サイバー攻撃などの被害が発生した場合、調査や対策などを円滑に実施するため、平常時から関係企業や取引先に対して、サイバーセキュリティリスクへの対応等に関する情報開示やインシデント情報の共有等、積極的なコミュニケーションを行う事で、信頼性の醸成を図ることが重要です。このコミュニケーション活動はトップから現場担当者まで、あらゆる階層で行われるべきです。

「サイバーセキュリティ経営の10項目」

経営者がCISO等、情報セキュリティ対策の実施責任者に指示すべき事項であり、着実に実施させることが必要です。この指示事項は以下のカテゴリーに分類されます。

リーダーシップの表明と体制の構築：指示１、２
サイバーセキュリティリスク管理の枠組み決定：指示３、４、５
リスクを踏まえた攻撃を防ぐための事前対策：指示６、７、８
サイバー攻撃を受けた場合に備えた準備：指示９、１０

指示１：サイバーセキュリティリスクの認識、組織全体での対応の策定

経営者がサイバーセキュリティリスクを適切に認識し、対応方針（セキュリティポリシー）を策定し、内外に公開することで、組織内の構成員に対してサイバーセキュリティリスクに対する考え方を周知するとともに、株主、顧客、取引先などのステークホルダーに対する信頼性を高めることにつながります。

指示２：サイバーセキュリティリスク管理体制の構築

サイバーセキュリティリスクを技術的観点と事業戦略の観点から捉えるため、CISO（情報セキュリティ担当役員）等の責任者を任命し、適切な権限を付与することが必要です。サイバー攻撃を受け、システム停止等の判断が必要な場合、事業継続性を含めた判断を求められるため、経営層レベルの権限が付与されていなければ適時適切な対応ができません。また、責任の所在が不明確となります。責任者のもと、適切なスキルや経験のある担当者を配置することで、インシデントの検知、被害状況の把握、原因究明、応急対策、再発防止策の実施等、組織的な対応を行うことが可能となります。また、組織内におけるリスク管理体制といった他の体制との整合性を取り、責任範囲の明確化や情報共有を行うことも重要です。

指示３：サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定

前提として、ITを活用する企業や組織は何らかのサイバーセキュリティリスクが存在します。ただし、そのリスクの大きさや深さは、企業や組織が守るべき情報資産や稼働するIT基盤・ネットワーク環境、等によって異なります。こうした前提のもとに企業や組織の経営戦略に基づいたリスク分析を行い、実現すべきセキュリティレベルを適切に設定して、リスクに応じたセキュリティ対策の目標と実施計画を検討する必要があります。セキュリティ対策としてはすべてを守る、というリスク低減策に偏らず、リスクの回避や移転といった施策も検討すべきです。また、残留リスクについても把握する必要があります。
単純にITベンダー等の提供するソリューションをそのまま適用することは、過剰な対策となって日常の業務遂行に支障をきたす等の不都合が生じたり、カバーされないリスクが残存して思わぬ損失を被ったりする可能性があります。

指示４：サイバーセキュリティ対策フレームワーク構築（PDCA）と対策の開示

一般のリスク対策と同様、サイバーセキュリティ対策も構築して終わりではなく、いわゆるPDCAサイクルによる継続的改善を実現する仕組みを構築する必要があります。当初策定したサイバーセキュリティ対策は完全であるとは限らず、また、技術進化等による新たなリスクが生まれるため、定期的に見直しを行い、改善していくことは必須です。PDCA の実施状況は経営者に対する報告を行うことで、経営者は指示した内容の実施状況を把握することができます。経営者に対する報告プロセスが規定されていない場合は、経営者の方から積極的に報告を求めるようにすべきです。
また、対策状況についてはCSR報告書、サステナビリティレポート、有価証券報告書等への記載を通じて適切な開示を行うことで、ステークホルダーの信頼を高める効果があります。

指示５：系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握

企業や組織のサイバーセキュリティが確保されるためには、自社内部だけでなく、子会社等の系列企業や様々な業務を委託するビジネスパートナー、ネットワークや情報システムに関わる委託業者等、事業に関連するすべての企業や組織も含めてサイバーセキュリティ対策が適切に実施されていることが必要になります。そのためには、業務委託会社の選定や契約時に実施すべきセキュリティ対策の内容を確認し合意するとともに、合意した内容が適切に運用されていることを確認するための定期的な報告を受けるという監督業務を適切に行う必要があります。
サイバー攻撃者は攻撃対象となる企業や組織を直接攻撃するのではなく、セキュリティ対策状況が脆弱な系列会社や委託会社を経由して攻撃することもあるので、事業に関係するすべてのプレーヤーに対するセキュリティ状況を把握し、実施状況を確認することは重要です。

指示６：サイバーセキュリティ対策のための資源（予算、人材等）確保

サイバーセキュリティ対策を実施する上で相応のリソースを確保することは重要です。もちろん、サイバーセキュリティ対策に無制限のリソース配分を求めるものではなく、事業活動の一環として適正なレベルでのリソース配分を行うことが重要です。
サイバーセキュリティ対策に向けた予算や人材を確保するには、サイバーセキュリティ対策の実施内容を明確にすることが前提になります。その中で派内のリソースで対応する対策と、外部のサービスや人材を活用する対策とで色分けし、予算確保や人材育成につなげる必要があります。
もし適切なリソース確保ができない場合は、対策の実施や人材確保が困難となることに加えて、信頼できる委託業者を活用することも難しくなります。また、社内のサイバーセキュリティ対策担当者に対する評価基準やキャリアパスを明確にすることで、担当者を自社にとどめることも可能となります。
また、セキュリティを含むIT関連予算は業績や景気に左右される傾向がありますが、少なくともセキュリティ関連予算については業績や景気に関わらず、一定レベルでのリソース確保を行うべきです。

指示７：ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保

日本企業のIT部門の多くは、セキュリティ分野も含めて外部委託に依存する傾向があり、外部委託先からの情報流出等の事件が絶えません。特にテクニカルスキルに関しては外部委託先頼りとなってしまい、IT機器やネットワークの管理者権限は通常外部委託先の担当者が使用するのが実状でしょう。そのため、自分の会社や組織以上に、外部委託先のサイバーセキュリティの状況を把握し、情報システムやIT基盤の開発、運用するに足るセキュリティレベルの確保を求めることが必要です。そのためには外部委託先を適切に監督することが必要です。例えば、以下の様な対応が考えられます。

提案、契約段階：必要とされるセキュリティレベルを確保することを条件とする
実施段階：契約段階で合意したセキュリティレベルが確保されていることについて定期的に報告させ、内容を確認する
既存の外部委託先に対しても、契約変更や覚書を交わすことで、上記と同様の監督を行う

自社に対するサイバー攻撃は、必ずしも自社に直接行われるとは限りません。自社であれ委託先であれ、脆弱性の高い部分が狙われるので、委託先を含めたサイバーセキュリティ対策を行うことが重要です。

指示８：情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備

サイバーセキュリティに限らず、IT全般において技術の進歩はすさまじいものがあります。サイバー攻撃も、こうした技術進歩を背景に、毎日の様に新しい手法での攻撃が行われます。そのため、自社や自組織の力だけで多様な攻撃を防ぐことは困難であり、様々な情報を入手し、あるいは提供することで、社会全体としてサイバーセキュリティに関する高度な情報共有が行われることが望ましいと考えます。ガイドラインに提示されている様々な団体やセキュリティ関連企業の情報を常にウォッチし、積極的に活用するとともに、自社に対して行われたサイバー攻撃に関する情報を提供することで、他社が同様の被害に遭うことを未然に防ぐ活動も求められます。

指示９：緊急時の対応体制（緊急連絡先や初動対応マニュアル、CSIRT）の整備、定期的かつ実践的な演習の実施

企業や組織がサイバー攻撃を受けて何らかの被害を受けた、または受けそうな場合は、緊急時対応の体制に移行し、被害の拡大を防止するとともに、被害状況を把握して適切な対応を行うことが必要となります。
緊急時対応の体制はメンバーと役割、緊急連絡先と連絡手段、初動対応、等が含まれており、平常時に整備を進め、マニュアル化すべき内容です。そうでなければ、いざというときに行き当たりばったりの対応となり、被害を拡大する可能性もあります。
策定した緊急時対応のマニュアルは、定期的に訓練や演習を行うことで、マニュアル通りの動きができるかどうかを確認し、不具合等があれば修正します。また、訓練や演習は担当者を緊急時の対応に慣れさせ、実際の緊急時に慌てない様にする目的もあります。

指示１０：被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

サイバー攻撃を受け、被害を受けた場合には自社内部だけでなく、すべてのステークホルダーに対して、自社との関わり合いに応じた連絡や報告を行うことが必要です。そのためには、前項の緊急時体制と同様、平常時に連絡先や報告先を洗い出し、連絡や報告を行うタイミング、手段、担当者、等を決めておく必要があります。また、個人情報の流出等、所管官庁への報告等が義務付けられている場合は、速やかに通知できるよう、対象となる事象や手続きの内容等、確認する必要があります。社外への公表についても、事象の内容や被害状況、世間の反応等を考慮して、発生時、被害状況把握時、収束時などのタイミングで実施する必要があります。場合によっては、経営層による記者会見も求められるので、会場の確保等についても事前に検討する必要があります。

最後に

近年の様々な顧客情報漏えい等の事件を見てもわかる通り、サイバー攻撃によって企業のブランドイメージへのダメージや業績ダウンといった影響ばかりか、経営責任を問われる事態にもなりかねない状況です。一方で、日本の企業ではサイバーセキュリティについてはIT部門やセキュリティ担当者に任せておけばいいと考える経営層も多く、海外に比べてセキュリティ対策を推進する経営幹部の任命が大幅に少ない状況です。また、海外企業の多くがサイバー攻撃対策について取締役レベルで議論すべきと考えているのに対して、日本企業の多くはそのように考えられていないという統計情報も提示されています。

サイバー攻撃への対応は、もはや現場での改善プロセスのレベルでは対応しきれません。「ITがよく分からないから」という理由で経営層や事業責任者は現場に丸投げしたいと考えているかもしれませんが、サイバー攻撃によって被害を受けた場合、対外的には経営責任だと見なされるでしょう。経営レベルでサイバー攻撃に対する問題の重要性を認識した上で、経営判断として適切にリソースを分配し、対処することが必要になると考えられます。

今回公開されたガイドラインの内容は基本的な内容に過ぎません。見方を変えれば、リスク管理対策のサイバー版と考えられるでしょう。また、対象となる企業の特性を決めていますが、大企業から中小企業まで、あらゆる規模や特性の企業が遵守すべき内容となっています。
「ITがよく分からない」経営層や事業責任者でも、サイバー攻撃によるリスクがどのようなもので、その結果どのような事態が引き起こされるかは理解できるでしょう。まずはスタートとして、このガイドラインの内容程度の対応がされて欲しいものです。

上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。

デルタエッジコンサルタントではサイバーセキュリティやリスク管理を支援するコンサルティングサービスや、経営層・事業責任者を対象にしたアドバイザリサービスを提供しています。詳細はこちらをご覧ください。
＝＝＞「コンサルティングサービス－リスク管理」のページ
興味や関心がございましたら、ぜひご連絡ください。

月	火	水	木	金	土	日
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

MENU