情報セキュリティマネジメントシステム認証(ISMS認証)の位置づけが、2016年度から大きく変わりそうだ。経営者が、標的型攻撃などサイバー攻撃の経営リスクを正しく見積もっているか、対策に十分な投資を振り向けているかなど、企業トップの「セキュリティ経営」を評価、認証する機能が新たに加わる見通しだ。

 経済産業省 大臣官房審議官の石川正樹氏は、同省と情報処理推進機構(IPA)が2015年7月2日に開催したイベント「サイバーセキュリティイニシアティブ2015」で、この新たな第三者認証制度を説明した。

 新認証制度は、経産省とIPAが2015年1月から主催する「サイバーセキュリティリスクと企業経営に関する研究会」を通じて検討が進んでいたもの。2015年6月30日に政府が閣議決定した成長戦略「日本再興戦略2015年」に盛り込まれた。

 経産省は2015年度中に、企業の経営者を対象としたセキュリティ指針「サイバーセキュリティ経営ガイドライン」を新たに策定する。続いて2016年度よりISMS認証の審査に、同ガイドラインに沿った審査項目を追加する。現行制度の評価基準は主に大企業を想定したものだったが、中堅・中小企業向けに評価項目を減らした簡易な認証制度の新設も検討する。

 現行の認証制度にも組織トップの関与を求める規定はあるが、企業全体でなく部門単位でも取得できたほか、想定するセキュリティリスクについて組織が自主的に判断できる仕組みだった。新制度で追加される審査は企業全体が対象。新たに策定されるガイドラインに基づき、業務内容や事業規模に見合った水準のセキュリティリスクを想定するよう、経営者に促す内容になるという。

 同ガイドラインにはこのほか、IoT向けセキュリティへの備え、企業や政府との情報共有、セキュリティ人材の育成などが盛り込まれる見通しだ。