経済産業省「サイバーセキュリティ経営ガイドライン」を改訂
「サイバーセキュリティ経営ガイドライン」は、サイバー攻撃の多様化・巧妙化に伴い、サイバーセキュリティ対策における企業等の経営者のさらなるリーダーシップの発揮などが求められていること等を踏まえ、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある事項等をまとめたものである。
1.背景・趣旨
経済産業省では、独立行政法人情報処理推進機構(IPA)とともに、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある事項及び経営者が情報セキュリティ対策を実施する上での責任者となるCISO(Chief Information Security Officer:最高情報セキュリティ責任者)等に指示すべき事項をまとめたサイバーセキュリティ経営ガイドラインを策定し、その普及を行ってきた。
昨今、サイバー攻撃は多様化・巧妙化しており、また、サプライチェーンを介したサイバーセキュリティ関連被害の拡大を踏まえた、サプライチェーン全体を通じた対策の推進の必要性が高まっているなど、各企業等においては、組織幹部が自らの果たすべき役割を認識した上で、リーダーシップを発揮し、更なる対策の強化や適切に対応することなどが求められている。こうした現状等を踏まえ、有識者や関係者を交えた研究会を開催し、そこでの検討を踏まえ、サイバーセキュリティ経営ガイドラインの改訂を行った。
2.改訂のポイント
有識者からの御意見やパブリックコメントにおける御意見等を踏まえ、主に以下の内容について改訂を行った。
- 経営者が認識すべき3原則について、取引関係にとどまらず、国内外のサプライチェーンでつながる関係者へのセキュリティ対策への目配り、総合的なセキュリティ対策の重要性や社外のみならず、社内関係者とも積極的にコミュニケーションをとることの必要性等の追加・修正。
- 指示5について、サイバーセキュリティリスクの識別やリスクの変化に対応した見直しやクラウド等最新技術とその留意点などについて、追記・修正。
- 指示8について、事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備やサプライチェーンも含めた実践的な演習の実施等について追記・修正。
- 指示9について、サプライチェーンリスクへの対応に関しての役割・責任の明確化、対策導入支援などサプライチェーン全体での方策の実行性を高めることについて追記・修正。
- 指示10について、有益な情報を得るためには適切な情報を提供すること も必要であることを強調しつつ、被害の報告・公表への備えをすることや ステークホルダーへの情報開示について追記・修正。
- その他、全体的な見直し。
また、本改訂に合わせて、独立行政法人情報処理推進機構(IPA)において、サイバーセキュリティの実践状況をセルフチェックで可視化いただける「サイバーセキュリティ経営可視化ツール」(Excel版、Ver2.0)への改訂を行っている。
