【ビジネス報道】 経産省(大臣:世耕弘成)は平成二十九年十一月十六日に『サイバーセキュリティ経営ガイドライン』を改訂し公表した。本ガイドラインは情報処理推進機構(IPA)と協力して経営者がリーダーシップを取ってサイバーセキュリティ対策を推進する為の指針となる。大企業だけでなく中小企業も把握するべきガイドラインだ。策定は二十七年。
改訂のポイントは以下の通り。
- 経営者が認識すべき三原則(代取のリーダシップ・対サプライチェーン・コミュニケィション)は維持しつつ、経営者がCISO等に対して指示すべき十の重要項目につき見直し
- 「指示五サイバーセキュリティリスクに対応するための仕組みの構築」に新たに「攻撃の検知」を含めたリスク対応体制につき記載
- 「指示八インシデントによる被害に備えた復旧体制の整備」に新たに「サイバー攻撃を受けた場合の復旧への備え」につき記載
- 「指示九ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」にサプライチェーン対策強化に関する記載及び類似項目の整理
- 付録Aに米・国立標準技術研究所(NIST)発行のサイバーセキュリティフレームワークとの対応関係を提示する変更を行い、チェック項目につき一部追加・修正
- 付録Bに重要十項目を踏まえたサイバーセキュリティ対策を行う際に参考となる各種文献集を記載
- 付録Cにインシデント(事態)が発生した時に組織が整理しておくべき事項を参考情報として新規追加
サイバ攻撃は進化している。防御の難しさは増しており、サイバ攻撃に企業が気付かないケースも増えている。事前対策のみでは対処が困難だ。経産省は特に、日本を含むアジア諸国が世界平均よりもサイバ攻撃の発見に時間を要するとみる。米欧では現況を踏まえて対処方針の見直しが進められ、事後対策を国内企業に求める等の検知・対応・復旧といった事後対策の取組みにも重点が置く様になっている。
経営にとってサイバ攻撃は純利益の喪失や技術情報の流出、企業信用の低下等の負の側面が甚大である。本ガイドラインは改訂後も三十六頁しかない。取締役会だけでなく、社内情報にアクセスできる全社員も目を通すべきだ。「付録C インシデント発生時に組織内で整理しておくべき事項(画像引用)」は既にエクセルで雛型を用意しているので、被害の情報を蓄積できる。サイバ防御上の自社のボトルネックを被害情報蓄積により推察できる様になる。その為には各社員が些細な変化を報告し、対処する上司が欠かせない。
記事:羽田野正法
0コメント