経済産業省が策定した、経営者がサイバー攻撃から企業を守るための理念や行動を記したガイドライン。法的拘束力はないが、順守すればサイバー攻撃対策の保険が割引になるなどの利点がある。
企業を狙ったサイバー攻撃によりシステムがダウンしたり、重要な情報が漏洩したりする事件が、日本でもここ数年で大幅に増えています。最近は単独犯ではなく、海外の組織が計画的に罠を仕掛けて攻撃してくる例もあり、その結果、大量の顧客情報や企業秘密が盗まれたり、ウェブサイトが停止して業務に支障を来したりと深刻な被害が出ています。
また、セキュリティ会社のファイア・アイによると、攻撃を受けた企業の69%はそのことに気づいておらず、外部からの指摘でようやく発覚したといいます。知らぬ間に被害が大きくなることも少なくないのです。
内容:3原則と10項目で構成
今回のガイドラインは、そうした被害を防ぐため、経産省が経営者向けに策定したものです。「サイバーセキュリティは経営問題である」と明確に位置付け、経営者が認識すべき「3原則」と、経営者が企業内のセキュリティ責任者に指示して守らせるべき「重要10項目」を定めています。
3原則は、(1)セキュリティ投資は費用対効果が算出しづらいため、経営者が対策を推進する必要がある、(2)情報漏洩は自社やグループ会社だけでなく、業務委託先や取引先など自社のサプライチェーンにつながる企業からも起きるため、それら全体を含むセキュリティ対策が必要である、(3)顧客や株主など関係者からの信頼感を高め、万一攻撃を受けた際も不信感を抱かれないよう、日ごろから自社のセキュリティ対策を開示して関係者に知らせておく―といった内容です。
重要10項目は、セキュリティポリシーを策定することや自社のセキュリティリスクを洗い出し対策を策定すること、実際にサイバー攻撃を受けた場合に備えて対策組織や初動マニュアルなど対応を決めておくこと、などを定めています。
