サイバーセキュリティ経営ガイドラインが改訂！改定箇所や必要な対策とは

サイバーセキュリティ経営ガイドラインとは

「サイバーセキュリティ経営ガイドライン」とは、経済産業省と独立行政法人情報処理推進機構（IPA）がサイバー攻撃から企業を守る観点で策定した資料です。対象は大企業および中小企業（小規模事業者を除く）の経営者で、資料の概要では「サイバーセキュリティ対策はコストや損失を減らすための投資である」と記されています。同時に、「企業として果たすべき社会的責任であり、その実践は経営者の責務である」とも記されています。

サイバーセキュリティ経営ガイドラインがVer3.0へ改定

サイバーセキュリティ経営ガイドラインは、2023年3月24日に改訂されました。改訂した背景としては、テレワークなどデジタル環境を前提とした働き方の普及が挙げられます。またサイバーセキュリティの対象の拡大やランサムウェアによる被害の拡大も今回の改訂に深く影響しています。他にもサプライチェーン全体を通じた対策の必要性や各企業でのリスクマネジメントの関心の高まりなど、社会全体がサイバーセキュリティ対策に目を向け始めたことも改訂の要因です。

改訂前のガイドラインでは、サイバーセキュリティ経営の3原則とサイバーセキュリティ経営の10項目が記載されていました。改訂版ではこの2つを維持しつつ、上記のような現状の問題に即して記載内容となっています。

改定箇所の内容

改訂版のサイバーセキュリティ経営の3原則では、サーバーセキュリティ対策が経営者の責務によるということを強調しています。他にもサプライチェーンを大局的に見た総合的なセキュリティや、関係者との積極的にコミュニケーションなども重視されていました。またサイバーセキュリティ経営の10項目では対策への意識や実効性を高めることをより強く求めており、サイバーセキュリティに関する情報共有および開示についてもより重要視する内容となっています。

サイバーセキュリティ経営の3原則

改訂版のガイドラインに記されているサイバーセキュリティ経営の3原則は、以下のとおりです。

1. 経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
2. サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
3. 平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要

出典：サイバーセキュリティ経営ガイドライン3.0｜経営者が認識すべき3原則

サイバーセキュリティのリスクマネジメントは社を挙げて取り組むべき重要課題であり、またそれを実行するにあたっては関わりのある企業すべてに気を配り、コミュニケーションを取ることが大切だとしています。

サイバーセキュリティ経営の重要10項目とは

改訂版のガイドラインに記されているサイバーセキュリティ経営の重要10項目は、以下となっています。

1. サイバーセキュリティリスクの認識、組織全体での対応方針の策定
2. サイバーセキュリティリスク管理体制の構築
3. サイバーセキュリティ対策のための資源（予算、人材等）確保
4. サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
5. サイバーセキュリティリスクに効果的に対応する仕組みの構築
6. PDCA サイクルによるサイバーセキュリティ対策の継続的改善
7. インシデント発生時の緊急対応体制の整備
8. インシデントによる被害に備えた事業継続・復旧体制の整備
9. ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
10. サイバーセキュリティに関する情報の収集、共有及び開示の促進

出典：サイバーセキュリティ経営ガイドライン3.0｜サイバーセキュリティ経営の10項目

セキュリティリスク対策において、前もってどのようなリスクが起こりえるのか把握しておくこと、また対策を講じるための予算や人材を確保しておくこと、など管理体制を整えたうえで対応することが求められます。また、インシデントが起きた際に迅速に対応にあたれるような体制を整備しておくことも重要です。

サイバーセキュリティ経営ガイドラインを守るために必要なステップ

サイバーセキュリティ経営ガイドラインを守るためには、以下のステップが必要となってきます。

1. セキュリティ対策への認知を高める
2. サイバーセキュリティ経営可視化ツールを活用
3. どのようなセキュリティ対策が必要かを情報収集する
4. セキュリティ体制をさらに強固

1.セキュリティ対策への認知を高める

大前提として経営者はサイバーセキュリティ対策を経営リスク、社会的責務として認識することが重要です。そのうえで会社のスタンスやルールを設定し、社員への対策の周知・徹底を行う必要があります。

2.サイバーセキュリティ経営可視化ツールを活用

サイバーセキュリティ経営可視化ツールとは、サイバーセキュリティ経営ガイドラインに付録するツールです。こちらではサイバーセキュリティ経営の重要10項目の実施状況を5段階の成熟モデルで可視化できます。自社の対策状況を具体的に把握することで必要となる対応もわかってくるので、ぜひ活用してみましょう。

3.どのようなセキュリティ対策が必要かを情報収集する

サイバーセキュリティ対策の基本はソフトウェアの最新版への更新やウイルス対策ソフトのインストール、ネットワークのセキュリティ設定の見直しなどです。しかしIT技術の進捗は目まぐるしく、サイバー攻撃もどんどん複雑になっていきます。現行のセキュリティ脅威の状況を関係者とも連携して確認しつつ、それに対抗できる対策を常にチェックしておきましょう。

4.セキュリティ体制をさらに強固に

セキュリティ体制をさらに強固にするためには、サイバーセキュリティ対策を請け負う部署を社内に設けることも手段のひとつです。インシデント発生時でも専門部署があれば対応が速くなりますので、ぜひ検討してみましょう。

まずはデバイス管理を徹底することから始めよう

サイバーセキュリティ対策の基本は、やはりデバイス管理の徹底です。特にテレワークが普及した現在においては、モバイルやタブレットのデバイス管理は非常に重要です。MDMはスマートフォンやタブレットなどのデバイスを一元的に管理・運用することに加え、企業のセキュリティを維持・強化するためのソフトウェアです。デバイス管理の見直しを行う場合は、ぜひMDMの導入を検討してみましょう。

なお、MDMについては以下の記事で詳しく解説しているので、ぜひご参考ください。
関連記事：MDM（モバイルデバイス管理）とは？基本や導入時の注意点まで徹底解説

まとめ

今回は、サイバーセキュリティ経営ガイドラインの改定について、またガイドラインを守るステップを解説してきました。テレワークなどによりデジタル化が進む現代において、サイバーセキュリティ対策は経営者の社会的義務となっています。

サイバーセキュリティ対策を推進していくには、経営者の意識はもちろん、従業員の理解を深めることも重要です。また、ソフト面の拡充も必要になってきます。知識のある人材の確保や各種サービス・ツールの導入には費用がかかるものの、実際にトラブルが起きてしまっては事業だけでなく、顧客への影響や企業の社会的信用にも関わってきます。「コストではなく投資」と捉えて、セキュリティリスク対策について前向きに検討してみましょう。