クラウドサービスやAI、IoTなど、企業は劇的に変化していくIT環境に適応するために、適切なセキュリティ対策を講じる必要があります。この記事では、2023年3月に改訂された「サイバーセキュリティ経営ガイドライン」について、基本事項を紹介しつつVer2.0との違いを解説します。改訂内容を把握した上で、自社に適したセキュリティ対策を検討する際に、ぜひお役立てください。
サイバーセキュリティ経営ガイドラインとは?
近年、AIやIoTなど最新のデジタル技術が急速に発達し、浸透してきました。企業が扱うデータ量も膨大になり、ITの利活用は不可欠です。一方で、クラウド環境ではインターネットを介することから、サイバーセキュリティ犯罪には一層警戒を強め、適切な対策を講じていかなければなりません。
こうした企業の課題への向き合い方について、経済産業省が独立行政法人情報処理推進機構(IPA)と協議し策定したのが、「サイバーセキュリティ経営ガイドライン」です。脅威となっているサイバーセキュリティへの対策を効果的に進めるためには、経営者がリーダーシップを発揮し、このガイドラインを確認の上、着実に実行していかなければなりません。
本ガイドラインの内容は、サイバー攻撃からいかに自社を守るかといった観点から、主に以下の2つの柱を掲げているのが特徴です。
- 経営者が認識すべき3原則
- サイバーセキュリティ経営の重要10項目
「経営者が認識すべき3原則」の改訂内容
サイバーセキュリティ経営ガイドラインは2023年3月にVer2.0からVer3.0へ改訂されました。ここでは「経営者が認識すべき3原則」の項目で主にリニューアルされたところを解説します。
・重要課題として経営者のリーダーシップのもとでの対策が必要
サイバーセキュリティは今や社会的にも大きな関心事です。企業の代表である経営者がこうした脅威を放置していては、取り返しのつかない大きな被害を受けかねません。
そこでVer3.0では、経営者の責務としてリーダーシップを発揮することや対策の重要性を明文化しています。今やITの利活用とあわせて、自らサイバーセキュリティ対策を積極的に推進できる経営者が求められているといっても過言ではありません。
・自社のみならず全体にわたる対策への目配りが必要
次に、経営者がどのような範囲で対策を打つべきかが改訂されたことも注目すべきポイントです。
これまで多くの企業では、社内だけの問題としてセキュリティ対策を検討すればよいといった認識が一般的でした。しかし、サイバー犯罪は日々刻々と巧妙化の一途をたどっています。また、サプライチェーンも複雑化しています。
したがって、自社が関わる社外のサプライチェーン全体を見た上で、最適なサイバーセキュリティ対策とは何かを考えなければなりません。そうした意味から、今回のガイドライン改訂では、より広範囲まで目配りしなければならないといった内容が明示されました。
常日頃から連絡体制を整えられていれば、万一のインシデント発生時にも復旧に向けた素早い初動対応が可能になります。
・関係者との積極的なコミュニケーションが必要
サイバー攻撃を受けたときに初めて関係者と密に連絡を取ろうとしても、なかなかスムーズにいかないことは往々にしてあります。
そのため、緊急時のみならず、何も問題が起きていない平常時であってもさまざまな関係先と継続的にコミュニケーションを図っておくことが大切です。そこでどういった対策が必要かを議論しておけば、互いの課題を共有し、より効果的な方法を模索できます。
「サイバーセキュリティ経営の重要10項目」の改訂内容
ガイドラインのもうひとつの柱である「サイバーセキュリティ経営の重要10項目」では、全体的に項目の見直しがなされました。ここではその中で4つの項目を取り上げて紹介します。
-
- 「指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保」
セキュリティにまつわるインシデントを防ぐためには、IT部門のみならず、すべての従業員がセキュリティ対策を「自分ごと」と捉えなければならないこと、また確実に遂行できるスキルを身に付けたり予算を確保したりしなければならないといった内容が追記されています。
-
- 「指示8:インシデントによる被害に備えた復旧体制の整備」
サプライチェーン全体がインシデントに対応できる体制づくりや留意点、訓練を実施しない場合に起きうる影響などについて、具体的に追記されています。
-
- 「指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」
セキュリティ対策を打つ範囲はサプライチェーン全体におよぶこと、また効果的な方法を検討するとともに状況把握も的確に行う必要があること、関係先との役割を明確化し、責任の所在を明らかにすることなどが盛り込まれています。
-
- 「指示10:情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供」
サイバーセキュリティに関する新しい情報を受け取るためには情報共有を進んで行うことも大切であること、被害を受けた場合の報告や公表体制、ステークホルダーへの開示などが追記されています。
サイバーセキュリティ経営ガイドラインが改訂された背景
サイバーセキュリティ経営ガイドラインが改訂された背景には、いくつかの要因があります。とくに、近年のサイバー攻撃は多様化、巧妙化しているのが特徴です。対策を打てば打つほど、今度はそれらを回避するような攻撃が仕掛けられることもよくあり、各企業ではさらなる対策の強化が求められています。その際には、現場に任せきりにするのではなく、経営者がリーダーシップを発揮することが重要です。こうした社会的なニーズの高まりから、ガイドラインは企業の対策をサポートする形で改訂されました。
まとめ
経済産業省がIPAと協力して策定、公表している「サイバーセキュリティ経営ガイドライン」は、企業がサイバー犯罪から身を守り、セキュリティ対策をどう打てばよいのかといった指針となるものです。
クラウド環境が浸透しつつある昨今では、社内外のネットワークを包括的に見据え、柔軟な対策が求められています。そこでおすすめなのが「Cloudbric」です。一元化されたプラットフォーム上で企業は自社にとって必要なソリューションを選択、導入できます。
セキュリティ対策の強化に課題をお持ちであれば、ぜひご検討ください。
Cloudbric(クラウドブリック) Webセキュリティ
製品・サービスに関するお問い合わせはこちら
Cloudbirc WAF+の無償トライアルはこちら
パートナー制度のお問い合わせはこちら