経済産業省は2017年11月16日、「サイバーセキュリティ経営ガイドライン」の改訂版バージョン2.0を公開した。サイバー攻撃の手口が巧妙化し、予防だけではサイバーリスクへの対策が不十分である背景を踏まえ、サイバー攻撃の検知や攻撃された場合の対処を強化するなどの記載を加えた。

 サイバーセキュリティ経営ガイドラインは、経営者やCISO(最高情報セキュリティ責任者)、セキュリティ担当者向けに、セキュリティ対策を推し進めるための指針として、経済産業省が情報処理推進機構(IPA)と協力して策定したもの。「経営者が認識すべき3原則」や「サイバーセキュリティ経営の重要10項目」などから構成される。最初のガイドライン(バージョン1.0)は2015年12月に公開され、2016年12月にバージョン1.1に改訂されていた。

 今回の改訂で大きく変わったのは、経営者がCISOなどに対して指示するべき内容として記載する「サイバーセキュリティ経営の重要10項目」に関してだ。アクセスログや通信ログなどからサイバー攻撃を検知する仕組みを整えるなど「攻撃の検知」や、サイバー攻撃に見舞われた際の復旧に向けた手順書策定や関連機関との連携など「復旧への備え」などの記載が新たに加わった。