経済産業省と情報処理推進機構(IPA)は2015年12月、企業の経営者を対象とした指針「サイバーセキュリティ経営ガイドライン Ver 1.0」を公表した。サイバー攻撃から企業を守る観点で、経営者が認識すべき「3原則」と、経営者が情報セキュリティ対策の担当幹部(CISO:最高情報セキュリティ責任者)に指示すべき「重要10項目」をまとめた。

 対象となるのは、、大企業および中小企業(小規模事業者除く)のうち、ITに関するシステムやサービスを供給する企業、または経営戦略上ITの利活用が不可欠な企業の経営者。経営者のリーダーシップの下で、企業がサイバーセキュリティ対策を推進するための指針として策定した。

 2015年には標的型攻撃によって日本年金機構から101万人分の個人情報が流出するなど、サイバー攻撃は件数の増大に加えて手口が高度化し、被害の件数や規模の拡大が続いている。一方で、企業にとってセキュリティ対策のための投資は、利益を生み出すわけではないため費用対効果を計りにくく、ほかの投資案件と比べて後回しになりやすい。

 ガイドラインは、各種アンケート調査のグローバル比較から、日本企業の経営層のセキュリティ意識が相対的に低いことを指摘。経営判断に基づくトップダウンで企業のセキュリティ投資を促すことを目的としている。産学の有識者9人からなる「サイバーセキュリティリスクと企業経営に関する研究会」(委員長:佐々木良一 東京電機大学教授)を2015年1月に立ち上げ、計9回の非公開の検討を重ねて取りまとめた。

 ガイドラインの柱となるのは、経営者が認識すべき「3原則」と、経営者が情報セキュリティ対策の担当幹部に指示すべき「重要10項目」からなる()。

 3原則では、サイバー攻撃によるリスクを経営リスクに位置づけて対策を講じること、系列企業や取引先、システム委託先を含めた対策が必要なこと、平時から顧客や株主にリスクや対策の情報を開示して信頼を醸成し緊急時の不信感を抑えることを挙げた。

 セキュリティ担当幹部に指示すべき10項目としては、リーダーシップの表明と体制の構築(表の1、2)、リスク管理の枠組み決定(同3、4、5)、攻撃を防ぐための事前対策(同6、7、8)、攻撃を受けた場合に備えた準備(同9、10)を掲げている。10個の項目ごとに、対策を怠った場合のシナリオと対策例も示した。

 また、付録として、担当幹部向けの「(A)サイバーセキュリティ経営チェックシート」と、セキュリティ担当者向けの「(B)望ましい技術対策と参考文献」「(B-2)技術対策の例」「(C)国際規格 ISO/IEC27001 及び 27002 との関係」「(D)用語の定義」を付け、対策に着手しやすいようにした。

表●「サイバーセキュリティ経営ガイドライン」の「3原則」と「重要10項目」
経営者が認識する必要がある「3原則」
(1)セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい。このため、サイバー攻撃のリスク をどの程度受容するのか、セキュリティ投資をどこまでやるのか、経営者がリーダーシップをとって対策を推進しなければ、企業に影響を与えるリスクが見過ごされてしまう。
(2)子会社で発生した問題はもちろんのこと、自社から生産の委託先などの外部に提供した情報がサイバー攻撃により流出してしまうことも大きなリスク要因となる。このため、自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要である。
(3)ステークホルダー(顧客や株主等)の信頼感を高めるとともに、サイバー攻撃を受けた場合の不信感を抑えるため、平時からのセキュリティ対策に関する情報開示など、関係者との適切なコミュニケーションが必要である。
担当幹部(CISO等)に指示すべき「重要10項目」
1:サイバーセキュリティリスクへの対応について、組織の内外に示すための方針(セキュリティポリシー)を策定すること。
2:方針に基づく対応策を実装できるよう、経営者とセキュリティ担当者、両者をつなぐ仲介者としてのCISO等からなる適切な管理体制を構築すること。その中で、責任を明確化すること。
3:経営戦略を踏まえて守るべき資産を特定し、セキュリティリスクを洗い出すとともに、そのリスクへの対処に向けた計画を策定すること。
4:計画が確実に実施され、改善が図られるよう、PDCAを実施すること。また、対策状況については、CISO等が定期的に経営者に対して報告をするとともに、ステークホルダーからの信頼性を高めるべく適切に開示すること。
5:系列企業やサプライチェーンのビジネスパートナーを含め、自社同様にPDCA の運用を含むサイバーセキュリティ対策を行わせること。
6:PDCAの運用を含むサイバーセキュリティ対策の着実な実施に備え、必要な予算の確保や人材育成など資源の確保について検討すること。
7:ITシステムの運用について、自社の技術力や効率性などの観点から自組織で対応する部分と他組織に委託する部分の適切な切り分けをすること。また、他組織に委託する場合においても、委託先への攻撃を想定したサイバーセキュリティの確保を確認すること。
8:攻撃側のレベルは常に向上することから、情報共有活動に参加し、最新の状 況を自社の対策に反映すること。また、可能な限り、自社への攻撃情報を公的な情報共有活動に提供するなどにより、同様の被害が社会全体に広がることの未然防止に貢献すること。
9:サイバー攻撃を受けた場合、迅速な初動対応により被害拡大を防ぐため、CSIRT(サイバー攻撃による情報漏えいや障害など、コンピュータセキュリティにかかるインシデントに対処するための組織)の整備や、初動対応マニュアルの策定など緊急時の対応体制を整備すること。また、定期的かつ実践的な演習を実施すること。
10:サイバー攻撃を受けた場合に備え、被害発覚後の通知先や開示が必要な情報項目の整理をするとともに、組織の内外に対し、経営者がスムーズに必要な説明ができるよう準備しておくこと。
出典:「サイバーセキュリティ経営ガイドライン Ver 1.0」(経済産業省・情報処理推進機構、2015年12月)を基に作成