• SecurityTIMES
  • ニュース
  • 『サイバーセキュリティ経営ガイドライン Ver2.0』が公開!Ver.1.1との違いとは?

『サイバーセキュリティ経営ガイドライン Ver2.0』が公開!Ver.1.1との違いとは?

2017年11月21日(火) ニュース

<ちょい読み>
・2017年11月16日(木)に経産省からサイバーセキュリティ経営ガイドラインVer.2.0が公開
・サイバーセキュリティは経営問題であるとして、経営責任や法的責任を問われる可能性について明記
・「攻撃の検知」を含めたリスク対応体制やサイバー攻撃を受けた場合の復旧への備えについての記載が追加

経済産業省は2017年11月16日(木)に「サイバーセキュリティ経営ガイドライン Ver.2.0」を公開しました。
「サイバーセキュリティ経営ガイドライン」は経済産業省が2015年12月に策定したもので、経営者がリーダーシップをとってサイバーセキュリティ教育を推進する指針として、経済産業省が情報処理推進機構(IPA)と協力して策定したものです。
2015年12月に公開されたのち、2016年12月にVer.1.1として改訂版が出ており、今回はVer.2.0としてバージョンアップしました。

では、今回のバージョンアップで大きく変更があったものはどのようなものでしょうか?

<注目>経営者の責任について【法的責任】の強い文言に変更

まずはじめに注目すべきなのは、サイバーセキュリティ経営ガイドラインの概要部分に記載のあった、経営者の責任に関する言及が修正されたことです。

サイバーセキュリティ経営ガイドライン Ver1.0及び1.1での記述

サイバー攻撃により、個人情報や安全保障上の機微な技術の流出、インフラの供給停止など社会に対して損害を与えてしまった場合、社会から経営者のリスク対応の是非、さらには経営責任が問われることもある。

サイバーセキュリティ経営ガイドライン Ver2.0での記述


経営者が適切なセキュリティ投資を行わずに社会に対して損害を与えてしまった場合、 社会からリスク対応の是非、さらには経営責任や法的責任が問われる可能性がある。

サイバーセキュリティ経営ガイドラインでは以前から経営者の責任に関する記述がありましたが、「経営責任が問われることもある」という内容から「経営責任や法的責任が問われる可能性がある」といった非常に強い文言に変更されています。
このような変更から、国としても法的措置を検討していく姿勢であると捉えることもでき、より一層のセキュリティ投資や見直しが必要と言えるでしょう。

<サイバーセキュリティ経営ガイドライン 変更点1>
『攻撃の検知』を含めたリスク対応体制についての記載

サイバーセキュリティ経営の重要10項目の一つである、「指示5 サイバーセキュリティリスクに対応するための仕組みの構築」に「攻撃の検知」に関する記述が追加されました。
検知に関してはVer.1.1では記載がありませんでしたが、今回追加されたことで、よりサイバー攻撃対策への指標が明確化されたように感じますね。

具体的な対策例として、アクセスログや通信ログからサイバー攻撃を監視・検知する仕組みを構築するという指示が記載されています。
アクセスログや通信ログをもとにサイバー攻撃を監視することは専門のスキルを持つ人材を必要とするため即時の対応は難しいですが、外部ツールを用いることで対応することが可能です。

<サイバーセキュリティ経営ガイドライン 変更点2>
サイバー攻撃を受けた場合の復旧体制の整備についての記載

「指示8 インシデントによる被害に備えた復旧体制の整備」では、サイバー攻撃によって業務停止が発生した場合の復旧体制について記載されています。
企業経営への影響を考慮して、いつ復旧するべきかを整備する必要があり、復旧へ向けた計画を立て、手順書や体制を整えることを勧めています。
また、業務停止になった場合を考え、復旧への実践的な演習を実施するべきと述べています。
対策を怠った場合についても記載されており、対策を怠ることによって企業経営に致命的なダメージを与える恐れがあることと、演習を実施しないと不測の事態が起こった場合に適切な行動をとることができないことが記されています。

対策例として、サイバー攻撃によって業務停止になったとき、関係機関と連携して速やかに復旧作業に取りかかれるようにするというものがありました。
そのためにも日頃から、担当者は復旧手順に従い演習を実施すると良いでしょう。
また、復旧作業において、いつまでに復旧するべきなのかを組織全体で整合をとるという対策例も記載されていました。

<サイバーセキュリティ経営ガイドライン 変更点3>
サプライチェーンのセキュリティ対策の推進について

「指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」では、委託先や系列企業のセキュリティ対策や取り組みの状況を把握する、という指示の内容を類似項目と合わせて整理しました。
系列企業、サプライチェーンをはじめとしたビジネスパートナーのセキュリティ対策が適切に行われていない場合、それらの企業を踏み台にした攻撃が発生すること、加害者になる可能性があることが記されています。
こういったことがあると、自社にとって事業継続に支障が生じるともありました。
また、システム管理といった委託先と自社との管理境界が曖昧になると対策漏れが生じる可能性があるとして、境界の切り分けも必要だと述べています。

具体的な対策例として、系列企業、サプライチェーンといったビジネスパートナーや委託先のサイバーセキュリティ対策を明確にした上で契約を行うべきと記載しています。
ほかにも、個人情報や技術情報といった重要な情報を委託先に預ける場合、情報の安全性が確保できるかを定期的に確認するとも記されています。

委託先やビジネスパートナーとのセキュリティ対策の連携が重要であることが明確化されました。

<サイバーセキュリティ経営ガイドライン 変更点4>
インシデント発生時に整理しておくべき事項についても参考情報追加

セキュリティ対策を行っていたにもかかわらず、インシデントが発生した場合どうやって情報を整理し、報告するべきかを記した付録が新たに追加されました。

インシデント発生時、原因調査を行うことになるわけですが、情報が錯綜すると問題解決に時間がかかり企業の信用度は落ちていくばかりです。
速やかにインシデントを解決し、関係各所に報告を行うためにも状況に応じて情報を整理する必要があるでしょう。
これらを早期解決するための参考資料となっていますので、万が一インシデントが発生した場合はこの資料に沿って情報を整理してみてはいかがでしょうか。
この付録はサイバーセキュリティ経営ガイドラインページからダウンロードすることができます。
是非とも活用してみましょう。

今一度、セキュリティ対策を見直してみる

今回の改定で、以前よりも対策をしなかった場合どういった事象が発生するか、対策方法の例にはどんなものがあるかが明確になりました。
サイバー攻撃は年々巧妙化し、防御が難しいばかりでなく攻撃を受けていることに気がつくことが遅れてしまうケースが増えています。
さらに日本の企業は諸外国に比べて、サイバー攻撃による事件の発覚に時間がかかる傾向があり、日本企業のセキュリティ対策は企業運営の大きな課題の一つです。
サイバーセキュリティ対策を行わないことで、経営責任や法的責任が問われる可能性があることも念頭に置くべきです。
セキュリティ対策の実施をコストとして捉えるのではなく、将来のために必要な投資であると捉えることが重要ですね。
この「サイバーセキュリティ経営ガイドライン」をもとに、企業の経営者は自身の責務であることを理解し、自社のセキュリティ対策への指針を決めて行動に移すべきでしょう。
新しくなった「サイバーセキュリティ経営ガイドライン」を是非とも読んでみてください。

サイバーセキュリティ経営ガイドラインに関するリリース
サイバーセキュリティ経営ガイドライン

Writer:SecurityTIMES編集部