ページの本文へ

セキュリティ

サイバーセキュリティ経営ガイドラインについて分かりやすく解説

近年、サイバー攻撃の脅威が高まり、企業経営者にとってサイバーセキュリティ対策の推進が急務となっています。このような中、経済産業省と独立行政法人情報処理推進機構(IPA)が、企業経営者向けに「サイバーセキュリティ経営ガイドライン」を策定・公開しました。
この記事では、ガイドラインの概要から経営者が認識すべき3原則、担当幹部に指示すべき重要10項目について、分かりやすく解説します。

  1. サイバーセキュリティ経営ガイドラインとは?
  2. サイバーセキュリティ経営ガイドラインの3原則
  3. サイバーセキュリティ経営ガイドラインの重要10項目
  4. サイバーセキュリティ経営ガイドラインを理解し、対策しましょう

サイバーセキュリティ経営ガイドラインとは?

サイバーセキュリティ経営ガイドラインは、サイバー攻撃の脅威から企業を守るために、経営者が理解すべき重要事項と実践すべき対策をまとめた指針です。サイバーセキュリティリスクを経営リスクの1つと位置づけ、経営トップ主導のもとで組織的な対策を推進することを目的としています。本ガイドラインは2015年の初版公開以降、2017年にVer2.0、2023年に最新版のVer3.0が発表されています。
ガイドラインの骨子は、経営者が認識すべき「3原則」と、セキュリティ担当役員などに指示すべき「重要10項目」で構成されています。本ガイドラインにのっとった対策を講じることで、企業のサイバーセキュリティ対策レベルの底上げが見込めます。

サイバーセキュリティ経営ガイドラインの3原則

経営者が理解すべき3つの原則について、順に解説します。

原則1:経営者のリーダーシップ

経営者自身がサイバーセキュリティリスクの重要性を認識し、強力なリーダーシップを発揮して対策を推し進めることが求められます。トップの旗振りのもと、組織全体を巻き込み、セキュリティ意識の向上と具体的アクションにつなげることが重要です。

原則2:サプライチェーン全体の対策

自社のみならず、取引先や外部委託先など、サプライチェーン全体を見渡したセキュリティ対策が不可欠です。つながりのある企業と連携を図り、サプライチェーン全体のセキュリティ水準を引き上げていくことが重要です。

原則3:関係者との情報共有

平時から関係者間でコミュニケーションを取り、サイバーセキュリティに関する情報を共有することが大切です。業界団体などを介して積極的に情報交換に努めることで、攻撃の兆候を早期に察知したり、有効な対策を学んだりすることが可能となります。

サイバーセキュリティ経営ガイドラインの重要10項目

経営者がセキュリティ担当役員などに指示すべき重要10項目について、概要を説明します。各項目の具体的な対策例などはガイドライン本文をご参照ください。

サイバーセキュリティリスクの認識、組織全体での対応方針の策定

経営者がサイバーセキュリティリスクを経営リスクの1つと認識し、組織全体としての対応方針を定める。

サイバーセキュリティリスク管理体制の構築

サイバーセキュリティリスク管理における役割と責任を明確化し、管理体制を整える。

サイバーセキュリティ対策のための資源(予算、人材等)確保

サイバーセキュリティ対策に必要な予算と人材を確保し、具体的な施策を講じる。

サイバーセキュリティリスクの把握とリスク対応に関する計画の策定

自社のサイバーセキュリティリスクを洗い出し、リスク対応計画を策定する。

サイバーセキュリティリスクに効果的に対応する仕組みの構築

防御・検知・分析機能を兼ね備えた、サイバーセキュリティリスクへの対応体制を構築する。

PDCA サイクルによるサイバーセキュリティ対策の継続的改善

リスクの変化に応じて、PDCAサイクルを回しながらサイバーセキュリティ対策を継続的に改善する。

インシデント発生時の緊急対応体制の整備

影響範囲や被害の特定、初動対応、再発防止策など、サプライチェーン全体を視野に入れたインシデント対応体制を整備する。

インシデントによる被害に備えた事業継続・復旧体制の整備

インシデントによる業務停止などからの復旧に向けた手順書の整備や体制づくりを行う。

ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策

サプライチェーン全体のサイバーセキュリティ対策状況を把握し、必要な対策を講じる。

サイバーセキュリティに関する情報の収集、共有及び開示の促進

サイバーセキュリティに関する情報を収集・共有し、ステークホルダーとのコミュニケーションを図る。

サイバーセキュリティ経営ガイドラインを理解し、対策しましょう

サイバーセキュリティは重要な経営課題であり、経営者のリーダーシップのもと、組織一丸となって取り組むことが大切です。そのためにも、サイバーセキュリティ経営ガイドラインの内容を正しく理解することが重要です。ガイドラインを踏まえつつ、自社の実情に即した形で対策を進めていくことが求められます。対策の立案・実行にあたっては、専門家のアドバイスを仰ぐことも有効でしょう。

日立ソリューションズ・クリエイトではホワイトハットハッカーによるセキュリティ診断サービスを提供しています。ガイドラインに沿った対策の策定やセキュリティ診断の実施など、お客さまのニーズに合わせて柔軟に対応可能です。サイバーセキュリティ対策に課題をお持ちの際は、ぜひ一度ご相談ください。

参考:経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール

当社の関連ソリューション/サービス

関連記事はこちら

詳細はこちら