最新セキュリティマネジメント（第2回） サイバーセキュリティ経営の重要10項目

　IT活用はビジネスの成長に欠かせない要素だ。しかし、サイバー攻撃で深刻な被害を受けるケースの増加など、セキュリティ面の不安が広がりつつある。経営者はセキュリティ関連のリスクを最小限に抑え、高まる脅威から企業を守る必要に迫られている。そこで今回は、サイバーセキュリティ経営（経済産業省がガイドラインを策定している）のポイントとされる「重要10項目」について解説する。

セキュリティ対策推進のカギは「リーダーシップ」

　これまで、サイバー攻撃から企業を守るための対策は「コスト」と捉えられることが多く、経営者にとっては長年悩みの種として扱われてきた。その中で2015年に経済産業省と独立行政法人情報処理推進機構（IPA）が共同で策定したのが「サイバーセキュリティ経営ガイドライン Ver2.0」である。

　本ガイドラインは、セキュリティ対策を将来の事業活動、成長に必須なものとして位置づけ、経営者が有効な「投資」として認識することを求めている。ITに関するシステムやサービスを供給する企業、および経営戦略上ITの利活用が不可欠な企業の経営者を対象に、経営者のリーダーシップの下で対策を推進するのが目標だ。

　具体的な取り組みの進め方として、サイバー攻撃から企業を守る観点で経営者が認識する必要がある「3原則」、および経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部（CISO／Chief Information Security Officer／最高情報セキュリティ責任者）などに指示すべき「重要10項目」がまとめられている。本記事ではこのうち、実務責任者である幹部への指示となる重要10項目について、それぞれの要素を挙げて紹介する。

10項目の指示内容をチェック

　「重要10項目」は、一方的にトップダウンで伝えるだけでなく、実施内容についてCISOなどから定期的に報告を受けることが必要だ。また、自組織での対応が困難な項目については外部委託による実施も検討する。各項目を紹介しよう。

サイバーセキュリティリスクの認識、組織全体での対応方針の策定
サイバーセキュリティリスクを経営リスクの1つとして認識し、組織全体での対応方針（セキュリティポリシー）を策定させる

サイバーセキュリティリスク管理体制の構築
サイバーセキュリティ対策を行うため、サイバーセキュリティリスクの管理体制（各関係者の責任明確化も含む）を構築させる

サイバーセキュリティ対策のための資源（予算、人材等）確保
サイバーセキュリティリスクへの対策を実施するための予算確保とサイバーセキュリティ人材育成を実施させる

サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
経営戦略の観点から守るべき情報を特定させた上で、サイバー攻撃の脅威や影響度からサイバーセキュリティリスクを把握し、リスクに対応するための計画を策定させる

サイバーセキュリティリスクに対応するための仕組みの構築
サイバーセキュリティリスクに対応するための保護対策（防御・検知・分析に関する対策）を実施する体制を構築させる

サイバーセキュリティ対策におけるPDCAサイクルの実施
計画を確実に実施し、改善していくため、サイバーセキュリティ対策をPDCAサイクルとして実施させる。その中で、定期的に経営者に対策状況を報告させた上で、問題が生じている場合は改善させる

インシデント発生時の緊急対応体制の整備
影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を速やかに実施するための組織内の対応体制（CSIRT／Computer Security Incident Response Team）などを整備させる

インシデントによる被害に備えた復旧体制の整備
インシデントにより業務停止などに至った場合、企業経営への影響を考慮していつまでに復旧すべきかを特定し、復旧に向けた手順書策定や復旧対応体制を整備させる

ビジネスパートナーや委託先などを含めたサプライチェーン全体の対策および状況把握
サイバーセキュリティ対策のPDCAについて、系列企業、サプライチェーンのビジネスパートナーやシステム管理の運用委託先などを含めた運用をさせる

情報共有活動への参加を通じた攻撃情報の入手とその有効活用および提供
社会全体において最新のサイバー攻撃に対応した対策が可能となるよう、サイバー攻撃に関する情報共有活動に参加し、積極的な情報提供および情報入手を行わせる

　これらの項目は、経営者がリーダーシップをとったセキュリティ対策の推進として、「サイバーセキュリティリスクの管理体制構築」「サイバーセキュリティリスクの特定と対策の実装」「インシデント発生に備えた体制構築」に分類される。また、サプライチェーンセキュリティ対策の推進や、ステークホルダーを含めた関係者とのコミュニケーションの推進など、社外を含めた内容を扱っている。

　ガイドラインでは、「対策を怠った場合のシナリオ」として生じる可能性のある問題点や、取り組みの事例を示した「対策例」が併記され、セキュリティ対策の経験が少ない経営者にも理解しやすい構成となっている。

経営者が守るべき「3原則」

　10項目の指示を行うに当たり、経営者が事前に踏まえておくべき原則として、本ガイドラインでは以下の３項目を挙げている。

・リーダーシップ
経営者はサイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

・周囲への配慮
自社はもちろんのこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要

・コミュニケーション
平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

　サイバー攻撃が身近なリスクとなっている現状で、経営戦略としてのセキュリティ投資を行うことは必要不可欠であり、経営者としての責務でもある。サイバーセキュリティを経営課題と捉え、さらに安全なIT活用をめざすための第一歩として本ガイドラインを活用してみてはいかがだろうか。

　次回はサイバーセキュリティリスクの認識と、組織全体での対応方針の策定について解説する。