「サイバーセキュリティ経営ガイドライン」初の大幅改訂、そのポイントは？

1．経営者に求められる、情報セキュリティへの意識

情報セキュリティが企業経営にとって欠かせない課題となった今、経営者がリーダーシップを取って情報セキュリティ対策を推進していことが欠かせません。そのために必要な知見や対策などの指針が示された「サイバーセキュリティ経営ガイドライン」。経済産業相と独立行政法人情報処理推進機構（IPA）が共同で2015年12月に初版を公開した同ガイドラインについて、経済産業省は11月16日、初の本格的な改訂版Ver2.0を公開しました[1]。今回はこの改訂のポイントをご紹介します。

2. 防御から早期発見＆対策へ

今回の改訂で考慮されたのは、サイバー攻撃の手口が多様化・巧妙化する中で防御だけではサイバー攻撃のリスクを管理しきれなくなっている現状です。さらに、日本を含めたアジア諸国について、世界の中でもサイバー攻撃への対応が遅れる傾向にある点、または攻撃自体に気づかないといったことが起きている点を考慮。情報セキュリティ対策で先進的な取り組みを行なう欧米諸国の例に学び、「検知・対応・復旧」といった事後対策に踏み込んだ改訂となっています。

改訂のメインとなったのは、経営者がCISO等に対して指示すべき10の重要項目をまとめた「サイバーセキュリティ経営の重要10項目」です。「サイバーセキュリティリスクに対応するための仕組みの構築」という項目に、新たに攻撃に対する「検知」が加えられました。アクセスログや通信ログ等のデータから不正アクセスなどの攻撃を「検知」できる仕組みを構築するように提言しています。また、専門スキルを要するアクセスの監視には、専門の外部サービス等を活用することも推奨されています。

加えて「インシデントによる被害に備えた復旧体制の整備」という項目では、インシデント発生時に速やかに復旧が行えるよう「備え」をすることが記されました。主に、関係部署・機関、担当者や指示系統を明確にし、いざという時にスムーズに復旧に向けた事後対応を行えるように備えること、また企業全体で重要な業務の復旧計画を立てることが挙げられています。

3. 「コスト」ではなく「投資」としての対策を

情報セキュリティ対策は、何も起きていない状況で行なう必要があり、どうしても後手に回りがちです。企業の最高情報セキュリティ責任者であるCISOやインシデントに対処する組織CSIRTについても、普及が進む一方で、専任の設置が少ない、経営層との橋渡しとしての役割を担っていない等の課題が残ります。

しかし昨今のサイバー攻撃により企業が受ける甚大な被害を見れば、健全な企業経営のために情報セキュリティ対策が必須なのは明らかです。ガイドラインの中でも、「セキュリティ対策の実施を『コスト』と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて『投資』と捉えることが重要」と述べられている通り、企業経営において情報セキュリティは、今後積極的にリソースを充てていくべき分野だと言えるでしょう。

 （文／星野みゆき　画像／© beebright – Fotolia）

参考:
[1] 経済産業省. (2017). サイバーセキュリティ経営ガイドラインを改訂しました
http://www.meti.go.jp/press/2017/11/20171116003/20171116003.html