サイバーセキュリティ経営ガイドラインとは

/セキュリティ

サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドラインとは、経営者自らがリーダーシップをとって進めるべくセキュリティ対策をまとめたものです。セキュリティ対策の実施を「コスト」ではなく、事業活動に必須な「投資」と捉えることが重要で、経営者としての責務と考えるべきとされています。

サイバーセキュリティ経営ガイドラインは、2023年5月に Ver3.0 が公開されました。

サイバーセキュリティ経営ガイドラインは、経営者が認識すべき3原則、サイバーセキュリティ経営の重要10項目、および、チェックシートなどの付録で構成されます。

経営者が認識すべき3原則

経営者は、以下の3原則を認識し、対策を進めることが重要です。特に下線部は、V3.0で変更があった箇所です。

原則1:経営者のリーダシップが重要

経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要です。

これは、セキュリティ対策のためには、全社的な責任者の任命や体制の構築、情報システムへの投資などが必要になるためです。

原則2:サプライチェーン全体にわたる対策への目配り

サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要です。

これは、いくら自社のセキュリティ対策を万全にしても、サプライチェーンが脆弱であれば、その脆弱性を起点として自社まで影響が及ぶためです。

原則3:社内外関係者との積極的なコミュニケーション

平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要です。

特に緊急時における情報開示の遅れは、企業に対しての不信感を高め、社会的信頼を損なってしまう可能性があります。

サイバーセキュリティ経営の重要10項目

経営者は、以下の重要10項目について、サイバーセキュリティ対策を実施する上での責任者や担当部署への指示を通じて、組織に適した形で確実に実施させる必要があります。

これらは、単なる指示ではなく、実施方針の検討、予算や人材の割当、実施状況の確認や問題の把握と対応等を通じてリーダーシップを発揮することが含まれます。

指示1:リスクの認識の組織全体での対応方針の策定

サイバーセキュリティリスクを経営者が責任を負うべき経営リスクとして認識し、組織全体としての対応方針(セキュリティポリシ)を策定し、策定した対応方針を対外的な宣言として公表させる必要があります。

指示1の実践状況のチェックリストは以下になります。

  1. 経営者が、サイバーセキュリティリスクを経営者が負うべき経営リスクの1つとして認識している。
  2. 経営者が、組織全体としてのサイバーセキュリティリスクを考慮したサイバーセキュリティの基本方針を策定し、宣言している。
  3. 法令・契約やガイドライン等の要求事項を把握し、基本方針等に反映している。

      指示1の実践のプラクティスは以下になります。

      1. 経営者がサイバーセキュリティリスクを認識するための、他社被害事例の報告
      2. 最新の脅威によるリスクに対応するための、セキュリティポリシーの改訂・共同管理
      3. 海外拠点における情報保護に関するコンプライアンスを拠点別チェックリストで担保

      指示2:リスク管理体制の構築

      サイバーセキュリティリスクの管理に関する各関係者の役割と責任を明確にした上で、リスク管理体制を構築させ、サイバーセキュリティリスクの管理体制の構築にあたっては、組織内のガバナン
      スや内部統制、その他のリスク管理のための体制との整合を取らせる必要があります。

      指示2の実践状況のチェックリストは以下になります。

      1. 組織の基本方針に基づき、CISO 等からなるサイバーセキュリティリスク管理体制を構築している。
      2. サイバーセキュリティリスクの管理に関する各関係者の役割と責任を明確にしている。
      3. 組織内のガバナンスや内部統制、事業継続に関するリスク管理体制とサイバーセキュリティリスク管理体制の関係を明確にしている。

        指示2の実践のプラクティスは以下になります。

        1. サイバーセキュリティリスクに対応するための、兼任のサイバーセキュリティ管理体制の構築

        指示3:対策のための資源確保

        サイバーセキュリティに関する残存リスクを許容範囲以下に抑制するための方策を検討させ、その実施に必要となる資源(予算、人材等)を確保した上で、全ての役職員に自らの業務遂行にあたってセキュリティを意識させ、スキル向上のための人材育成施策を実施させる必要があります。

        指示3の実践状況のチェックリストは以下になります。

        1. 経営会議等の議論により、サイバーセキュリティ対策とそれを実施できる資源(予算、人材等)を明確にしている。
        2. サイバーセキュリティ対策に関して、自組織で対応する部分と外部に委託する部分を適切に切り分けている。
        3. 自組織に求められるセキュリティ人材の要件を明らかにし、計画的にサイバーセキュリティ人材を確保、育成するとともに、適正な処遇を与えている。
        4. プラス・セキュリティを担う人材を対象に、サイバーセキュリティの知識・スキルの習得を実施している。
        5. 外部に委託する部分について、自社の課題、予算、場所等を考慮して適切な外部リソースを選定し、活用している。

          指示3の実践のプラクティスは以下になります。

          1. サイバーセキュリティ対策のための、予算の確保
          2. 経営層やスタッフ部門等の役割に応じた、リテラシーに留まらないセキュリティ教育実践
          3. サイバーセキュリティ対策のための、必要なサイバーセキュリティ人材の定義・育成

          指示4:リスクの把握とリスク対応に関する計画の策定

          事業に用いるデジタル環境や情報を特定させ、それらに対するサイバー攻撃(過失や内部不正を含む)の脅威や影響度を評価させ、サイバー保険の活用や専門ベンダへの委託を含めたリスク対応計画を策定させ、対応後の残留リスクを識別させる必要があります。

          指示4の実践状況のチェックリストは以下になります。

          1. 守るべきデジタル環境、サービス及び情報を特定し、当該資産の場所やビジネス上の価値等に基づいて対策の優先順位付けを行っている。
          2. 守るべきデジタル環境、サービス及び情報に対するサイバー攻撃(過失や内部不正を含む)の脅威、脆弱性を特定し、これらによるサイバーセキュリティリスクが自社の事業にいかなる影響があるかを把握している。
          3. リスクアセスメント結果に基づいてリスク対応計画を策定している。

            指示4の実践のプラクティスは以下になります。

            1. 経営への重要度や脅威の可能性を踏まえたサイバーセキュリティリスクの把握と対応
            2. サイバーセキュリティ経営可視化ツールを用いたリスク対策状況の把握と報告

            指示5:リスクに効果的に対応する仕組みの構築

            サイバーセキュリティリスクに対応するための保護対策として、防御・検知・分析の各機能を実現する仕組みを構築させ、構築した仕組みについて、事業環境やリスクの変化に対応するための見直しを実施させる必要があります。

            指示5の実践状況のチェックリストは以下になります。

            1. 重要なシステムの資産管理・構成管理・パッチ管理を行っている。
            2. 組織内でシャドーIT を利用させない対策を行っている。
            3. システム設計時にリスクアセスメントを行い、必要なセキュリティ機能を具体化し、開発時に実装している。
            4. 重要業務を行う端末・サーバー等には複数の技術的対策を実施している。
            5. 重要業務を行うネットワークには複数の技術的対策を実施している。
            6. システム等に対する定期的な脆弱性診断や、継続的なパッチ適用、その他の緩和策等の脆弱性対策の計画を立て、実行している。
            7. 端末やネットワークからのログを収集・分析している。
            8. サイバー攻撃を検知した際に通信を遮断する等のインシデント対応の仕組みを導入している。
            9. インシデントの管理の仕組みを導入している。
            10. 従業員に対して、サイバーセキュリティの教育・演習を実施している。

              指示5の実践のプラクティスは以下になります。

              1. 多層防御の実施
              2. サイバーセキュリティ対策において委託すべき範囲の明確化とその管理
              3. ITサービスの委託におけるセキュリティ対策を契約と第三者検証で担保
              4. セキュリティバイデザインを標準とする、クラウドベースの開発プロセスの励行
              5. 事業部門によるDX推進をセキュリティ確保の観点から支える仕組みづくり
              6. アクセスログの取得

              指示6:PDCA サイクルによる対策の継続的改善

              リスクの変化に対応し、組織や事業におけるリスク対応を継続的に改善させるため、PDCA(Plan・Do・Check・Action)サイクルを運用させ、対策の状況を定期的に報告させることで問題の早期発見に努め、問題の兆候を認識した場合は改善させる必要があります。

              指示6の実践状況のチェックリストは以下になります。

              1. サイバーセキュリティ運用管理に関する KPI を定めている。
              2. 経営者が定期的に、サイバーセキュリティ対策実施状況に関する報告を受け、議論・対策指示している。
              3. サイバーセキュリティに関する監査を実施し、その結果を踏まえ、サイバーセキュリティ対策を適時見直している。
              4. サイバーセキュリティリスクへの対策状況についてステークホルダーとコミュニケーションしている。

                指示6の実践のプラクティスは以下になります。

                1. PDCAサイクルの検証と、演習・訓練を通じた評価・改善プロセスの強化
                2. 一律のルール適用が困難なビジネスにおけるセキュリティKPIを用いたリスク管理
                3. ステークホルダーの信頼を⾼めるための、サイバーセキュリティ関連情報発信の工夫

                指示7:インシデント発生時の緊急対応体制の整備

                影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を適時に実施するため、制御系を含むサプライチェーン全体のインシデントに対応可能な体制(CSIRT 等)を整備させ、適宜実践的な演習を実施させる必要があります。

                指示7の実践状況のチェックリストは以下になります。

                1. サプライチェーン全体を考慮したインシデント対応計画を策定している。
                2. インシデントに対応可能な専門チーム(CSIRT 等)を設置している。
                3. 組織外に共有・報告・公表すべき内容やタイミング等を定めている。
                4. インシデント発生時の緊急対応の演習を定期的に行っている。
                5. インシデント発生時のログ分析・調査を速やかに行い、影響範囲を特定できるよう実施計画を策定している。

                  指示7の実践のプラクティスは以下になります。

                  1. 司令塔としてのCSIRTの設置
                  2. 従業員の初動対応の規定
                  3. 想定されるインシデントについてのセキュリティ分析計画の事前策定
                  4. CSIRT業務の属人化回避も兼ねたインシデントや脅威に関する情報の共有・蓄積
                  5. 無理なく実践するインシデント対応演習
                  6. インシデント発生時の優先度に応じた顧客への通知・連絡・公表手順

                  指示8:被害に備えた事業継続・復旧体制の整備

                  インシデントにより業務停止等に至った場合、企業経営への影響を考慮していつまでに復旧すべきかを特定し、復旧に向けた手順書策定や、復旧対応体制の整備をさせ、サプライチェーンも含めた実践的な演習を実施させる必要があります。

                  指示8の実践状況のチェックリストは以下になります。

                  1. 被害が発生した際の、サプライチェーン全体を考慮した業務の復旧計画を策定している。
                  2. 定期的に復旧対応演習を行っている。

                    指示8の実践のプラクティスは以下になります。

                    1. インシデント対応時の危機対策本部との連携
                    2. 組織内外の連絡先の定期メンテナンス

                    指示9:サプライチェーン全体の状況把握及び対策

                    ビジネスパートナー等との契約において、サイバーセキュリティリスクへの対応に関して担うべき役割と責任範囲を明確化するとともに、対策の導入支援や共同実施等、サプライチェーン全体での方策の実効性を高めるための適切な方策を検討させる必要があります。

                    指示9の実践状況のチェックリストは以下になります。

                    1. グループ企業との取引や連携におけるサイバーセキュリティリスクへの対策状況を把握している。
                    2. 委託先等の取引先との契約で合意したサイバーセキュリティリスクに関する役割と責任範囲に基づいて、適切な方策が講じられていることを確認している。
                    3. 自社事業に影響を及ぼすサプライチェーン全体にわたって、サイバーセキュリティリスクが許容可能な水準を超えていないことを確認している。

                      指示9の実践のプラクティスは以下になります。

                      1. サイバーセキュリティリスクのある委託先の特定と対策状況の確認
                      2. サプライチェーンで連携する各社が自社ですべきことを実施する体制の構築

                      指示10:情報の収集、共有及び開示の促進

                      有益な情報を得るには自ら適切な情報提供を行う必要があるとの自覚のもと、サイバー攻撃や対策に関する情報共有を行う関係の構築と被害の報告・公表への備えをさせ、入手した情報を有効活用するための環境整備をさせる必要があります。

                      指示10の実践状況のチェックリストは以下になります。

                      1. 関係団体が提供する注意喚起情報の入手や、業界のセキュリティコミュニティ等への参加を通して情報共有を行い、自社の対策に活かしている。
                      2. マルウェア感染、不正アクセス等のインシデントがあった際に、関係団体やコミュニティへの共有・報告や、適切な公表等の情報提供を実施している。

                        指示10の実践のプラクティスは以下になります。

                        1. 情報共有活動への参加による信頼獲得と、収集した知見の社内への還元
                        2. 情報の共有・公表ガイダンスを参考にCSIRTと社内外関係者との連携推進
                        3. 業界団体を活用したセキュリティ対策に関する情報共有活動

                         

                        IT
                        マネジメント、セキュリティ、ネットワーク、システム
                        www.sansakuro.com
                        2021.04.25
                        散策路TOP
                        物理学、数学、力学、電磁気学、連続体力学、相対論、熱・統計力学、量子力学、解析学、代数学、幾何学、統計学、論理学、物性論、プラズマ物理、電子工学、情報・暗号、機械学習、金融・ゲーム理論、IT、FP、宗教・思想
                        www.sansakuro.com
                        2021.03.24

                        経済産業省ホームページ

                        実践のためのプラクティス集

                        関係法令Q&Aハンドブック

                         

                        タイトルとURLをコピーしました