経済産業省は2017年11月16日、「サイバーセキュリティ経営ガイドライン」を改訂した。このガイドラインは企業の経営層向け。サイバー攻撃に対する備えや攻撃に遭ったときの対応方法などを提示。そしてそれらをCISO(最高情報セキュリティ責任者)などのセキュリティ担当者に実施するよう指示すべきとしている。最初に公開したのは2015年。今回、サイバー攻撃の多様化や新たに見えてきた課題に対応できるように改訂した。
改訂版で注目されているのは、サイバー攻撃の被害を最小限にするための「攻撃の検知」や、サイバー攻撃に見舞われた際の「復旧への備え」である。主に中小企業で導入が遅れているセキュリティ対策だ。しかし、今回の改訂で見逃してならないのは「委託先のケア」と、付録のチェックシートだ。
未対策が受注減につながる
委託先のケアとは、委託先や提携先などのセキュリティ対策を推進し、状況を把握することだ。国内ではここ1、2年で、委託先から情報が漏洩する事件が目立つようになった。委託先のケアによって、こうした事件を防げるようになる。
目的はこれだけではない。経済産業省の商務情報政策局サイバーセキュリティ課 土屋博英企画官は、「委託先のケアが不十分だと受注減につながる恐れがある」と指摘。欧米などの法律で規定されている委託先のセキュリティレベルをクリアしないと海外から受注できなくなるケースがあるのだ。
