経済産業省は、経営者がサイバー攻撃から企業を守る理念や行動を示した指針「サイバーセキュリティ経営ガイドライン」を2年ぶりに大幅改定した。「世界標準」のフレームワークに合わせることで、海外事業を持つ企業も全社の体制整備にガイドラインを適用しやすくなった。

 経産省は2017年11月16日に改定版を公開した。攻撃の手法が巧妙化し、100%防ぐのが難しくなった現状を踏まえ、攻撃を素早く検知したり、被害が出た後に速やかに業務を復旧したりできる体制の構築を新たに求めた。

 日本年金機構などの相次ぐサイバー攻撃被害を機に「サイバーセキュリティは経営問題」と国が初めて明記した初版から約2年が経過。その間に標的型攻撃や脆弱性攻撃による情報流出事案は続き、ランサム(身代金)ウエアやIoT(インターネット・オブ・シングズ)マルウエアなど新たな脅威が出現した。

課題は中堅中小の普及率

 「攻撃を受けた後、いかに早く検知し、対応し、復旧するかという事後対策の強化が欧米のトレンド。従来のガイドラインは対応を中心に求めていたので検知と復旧を追加した」。経産省商務情報政策局サイバーセキュリティ課の石見(いわみ)賢蔵課長補佐は改定のポイントをこう話す。

図●サイバーセキュリティ経営ガイドラインでCISOに指示する10項目の変更ポイント
図●サイバーセキュリティ経営ガイドラインでCISOに指示する10項目の変更ポイント
国際的なフレームワークに準拠して「検知」と「復旧」を追加
[画像のクリックで拡大表示]

 参考にしたのは米NIST(国立標準技術研究所)が2014年に公開した「NISTフレームワーク」。セキュリティを向上させる取り組みを特定、防御、検知、対応、復旧の5段階に分類している。

 「グローバルで活動する日本企業から従来版をNISTフレームワークに合わせてほしいと要望された」(石見課長補佐)。実際にみずほフィナンシャルグループやヤマハ発動機が社内の体制作りで参考にしている。

 改定で有用度が高まったが、課題は普及率だ。従業員5001人以上の大手は6割が参照するが、国内企業全体でみると18.8%にとどまる。日本経済を支える中堅・中小企業の経営者への浸透が急務だ。