サイバーセキュリティ経営ガイドラインとは

/アセスメント

サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドラインとは、近年のサイバー攻撃の増加に伴い、セキュリティ対策を、経営者自らがリーダーシップをとって進めるべく課題として捉えたものです。

セキュリティ対策の実施を「コスト」と捉えるのではなく、事業活動に必須な「投資」と捉えることが重要で、セキュリティ投資は必要不可欠かつ経営者としての責務と考えるべきとされています。

経営者が認識すべき3原則

経営者のリーダシップ

経営者自らがサイバー攻撃のリスクを認識し、リーダシップを取ってセキュリティ対策を進めることです。これは、セキュリティ対策のためには、全社的な責任者の任命や体制の構築、情報システムへの投資などが必要になるためです。

サプライチェーンのセキュリティ対策

自社のセキュリティ対策の他、協業先や委託先も含めたサプライチェーンに対するセキュリティ対策が必要です。これは、いくら自社のセキュリティ対策を万全にしても、サプライチェーンが脆弱であれば、その脆弱性を起点として自社まで影響が及ぶためです。

適切なコミュニケーション

平時と緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要です。特に緊急時における情報開示の遅れは、企業に対しての不信感を高め、社会的信頼を損なってしまう可能性があります。

サイバーセキュリティ経営の重要10項目

組織全体での対応方針の策定

サイバーセキュリティのリスクを経営リスクの1つとして認識し、組織全体での対応方針(セキュリティポリシー)を策定させる必要があります。

  • セキュリティポリシーは従業員に通知し、従業員教育などで周知徹底を図る。
  • セキュリティポリシーを一般公開することで、社会的な信頼性を高める。

リスク管理体制の構築

セキュリティ対策を行うためには、セキュリティリスクの管理の責任者(CISO:最高情報セキュリティ責任者)を任命し、体制を構築し、各関係者の責任の明確にさせる必要があります。

  • CISOは経営リスクに関する委員会に参加する。
  • 役員はセキュリティリスクの管理体制が構築、運用されていることを監査する。

資源(予算、人材等)確保

セキュリティ対策を実施するために、予算確保とサイバーセキュリティ人材の育成を実施する必要があります。

  • 従業員向けの研修等のための予算を確保し、継続的に実施する。
  • 人材を組織内で雇用することが困難な場合は、専門ベンダの活用を検討する。

リスクの把握と計画の策定

守るべき重要情報を特定させた上で、サイバー攻撃の脅威や影響度からセキュリティリスクを把握し、リスクに対応するための計画を策定させる必要があります。

  • 守るべき情報に対して、発生しうるセキュリティリスクを把握する。
  • リスク低減、リスク回避、リスク移転の観点でセキュリティ対策を検討する。
  • セキュリティ対策が不要と判断したリスクは残留リスクとして識別する。

仕組みの構築

セキュリティリスクに対応するための保護対策(防御・検知・分析に関する対策)を実施する体制を構築させる。

  • 重要業務を行うネットワーク、システムは多層防御を実施する。
  • ログ情報からサイバー攻撃を監視・検知する仕組みを構築する。
  • 従業員に対する教育を行い、適切な対応が行えるよう日頃から備える。

PDCAサイクルの実施

計画を確実に実施し改善していくため、サイバーセキュリティ対策をPDCA(Plan・Do・Check・Action)サイクルとして実施させる必要があります。

  • 定期的にセキュリティ診断や監査を受け、問題がある場合は改善する。
  • 定期的に経営者に状況を報告させ、問題がある場合は改善する。

緊急対応体制の整備

セキュリティインシデントが発生た場合の初動対応や再発防止策の検討を実施するため、インシデント対応体制(CSIRT等)を整備させる必要があります。

  • インシデント発生時の組織の内外へ説明ができる体制を整備する。
  • インシデント発生時の対応について、実践的な演習を実施させる。

復旧体制の整備

セキュリティインシデントにより業務停止等に至った場合、復旧に向けた手順書の策定や、体制を整備をさせる必要があります。

  • BCP(事業継続計画)などと連携し、組織全体としての復旧目標計画を定める。
  • 被害原因の特定や解析を速やかに実施するための体制を構築する。
  • 業務停止等からの復旧対応について、適宜実践的な演習を実施する。

サプライチェーン全体の対策

一連のセキュリティ対策について、系列企業、サプライチェーンを含めた運用をさせる必要があります。

  • 委託先等のサイバーセキュリティ対策の内容を明確にした上で契約を交わす。
  • 委託先等の情報の安全性確保が可能であるかどうかを定期的に確認する。

情報の入手とその有効活用

最新のサイバー攻撃に対応した対策が行えるよう、サイバー攻撃に関する情報提供や情報入手を積極的に行わせる。

  • 入手した情報を有効活用するための環境整備をする。
  • 情報を入手するのみならず、関係機関へ積極的に情報を提供する。

 

IT
情報セキュリティ、ISMS、リスク分析、ログ分析、送信ドメイン認証、公開鍵基盤、CSIRT、情報セキュリティ対策ベンチマーク
数理の散策路
力学、電磁気・相対論、熱・統計力学、量子力学、物性物理、機械学習、情報処理、金融、物理数学

情報処理推進機構(IPA)

 

タイトルとURLをコピーしました