セキュリティソリューション導入 /
運用支援 / 監視サービス
コラム
2024.10.28
サイバー攻撃対策
経営者のサイバーセキュリティへの心得
サイバーセキュリティ経営ガイドラインを読み解く
当該ガイドラインを紐解き、なぜセキュリティが経営と結びつくのか、経営者はどのようにセキュリティと向き合う必要があるのかを解説します。
#セキュリティコンサルティング
はじめに
日本におけるサイバーセキュリティへの関心は年々高まっています。企業の収益源となるサービスの停止や、製造業のサプライチェーン全体の操業停止など、企業経営に直結した問題を引き起こすサイバー攻撃が多発していることが一因と言えます。
サイバー攻撃の被害は、下記以外にも多岐にわたり、企業として膨大な損失となる可能性があります。
・ システムが利用できないことによる操業停止など、売上に直結する被害
・ 侵入経路の調査などのコンサル費用、データの復旧やサーバー・パソコン等のシステム入れ替えによる、稼働費用などの費用増
・ 株価の影響や風評被害などの間接的な被害
今や経営者にとって、サイバーセキュリティは企業の存続と信頼性に直結する重要なテーマとなり、サイバーセキュリティの強化に着手している企業も増えてきました。 しかしその一方で、サイバーセキュリティに対してどのように取り組めばよいのか、指針作りに苦労されている経営者もおられることから、サイバーセキュリティ経営ガイドラインの重要性が高まっています。
目次
サイバーセキュリティ経営ガイドラインとは
日本年金機構の個人情報漏えい事件など、多くの組織が標的型攻撃による被害を受けた2015年、経済産業省から「サイバーセキュリティ経営ガイドライン」(以下「経営ガイドライン」)初版がリリースされました。その後、クラウドやIoTなどのIT環境の変化、DXやリモートワークなどの社会環境の変化およびグローバル化に向けた国際標準との整合などのポイントを追加し、2023年に最新版のVer3がリリースされています。
「サイバーセキュリティは経営課題である」との声に応えて、経営ガイドラインには経営者がサイバーセキュリティと対峙する心得や方針について書かれており、企業としての方針を策定する際の参考となるように設計されています。
また、技術的な詳細に踏み込むのではなく、経営者が理解しやすい形で示されている点が特徴です。具体的にはサイバーセキュリティ対策の重要性、経営者が果たすべき役割、そして実際に取り組むべき具体的な対策が記載されています。これにより、経営者は自身の企業が直面するリスクを理解し、適切な対策を講じるための手がかりを得ることができます。
サイバーセキュリティ経営ガイドラインの構成
経営ガイドラインは、経営者が認識すべき3原則とサイバーセキュリティ経営の重要10項目から構成されています。これらは経営者が具体的な行動を取るための指針として機能します
経営者が認識すべき3原則
-
1経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、
自らのリーダーシップのもとで対策を進めることが必要デジタル環境への依存が増す中で、サイバー攻撃の影響が深刻化しているため、サイバーセキュリティ対策は企業活動における不可欠な投資です。経営者自らがリスクを把握し、適切な対策を主導することで、残留リスクを許容水準まで低減させ、企業の持続的成長を支えることが求められます。
-
2サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、
国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要デジタル技術の普及に伴い、クラウドサービスやモバイルデバイスなど、サプライチェーン内の多様なつながりが増加し、変化しています。サプライチェーン全体のセキュリティが脆弱である場合、重要情報の流出や機能停止などの深刻な被害が生じる可能性があります。そのため経営者は、ビジネスパートナーや委託先を含む全体のリスクを低減し、信頼を得るために総合的な対策を徹底する責務があります。
-
3平時及び緊急時のいずれにおいても、サイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要
平時からの適切なリスクコミュニケーションにより、サイバー攻撃による被害発生時に、関係者の不信感を抑えることができます。(関係者には、社内のセキュリティ担当者やCISO、社外のIPAやJPCERT/CC、セキュリティ製品・サービス事業者などを含む)
インシデント発生時に迅速な報告と対応が可能となるよう、平時からリスクや対策に関する情報を共有し、コミュニケーション体制を整えることが重要です。
サイバーセキュリティ経営の10項目
-
1サイバーセキュリティリスクの認識、組織全体での対応方針の策定
経営者は策定した対応方針を外部に宣言する必要があります。これにより組織内外の信頼性が高まり、リスク対策の実効性が確保されることで、ブランド価値の向上につながります。
-
2サイバーセキュリティリスク管理体制の構築
経営者はサイバーセキュリティリスクの管理に関する役割と責任を明確化し、リスク管理体制を構築する必要があります。組織内のガバナンスやリスク管理の枠組みを整え、関連する対策を全社的に統合・実施することで、インシデント発生時の被害を最小化し、適切な対応を迅速に行うことができます。
-
3サイバーセキュリティ対策のための資源(予算、人材等)確保
経営者は予算や人材確保の上、具体的な対策に取り組む必要があります。全ての従業員が自分の業務においてセキュリティを意識し、必要なスキルと知識を習得できるよう、人材育成を実施します。これにより、組織全体でのセキュリティ対策の効果が高まり、リスクを低減します。
-
4サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
経営者はデジタル環境やサービスに関するリスクを把握し、対応計画を策定することが求められます。具体的なリスクの特定と評価を行い、適切な対策を講じることで、リスクを低減し、事業継続性を確保します。定期的な見直しを行い、最新の脅威に対応できるよう計画を更新することも重要です。
-
5サイバーセキュリティリスクに効果的に対応する仕組みの構築
経営者はサイバーセキュリティリスクに対応するための防御、検知、分析の機能を持つ仕組みを整備し、定期的に見直しを行う必要があります。技術的な防衛策や従業員の教育を通じて、サイバー攻撃を迅速に検知し、適切な対応を行うことで、リスクを最小化し、事業継続性を確保します。
-
6PDCA サイクルによるサイバーセキュリティ対策の継続的改善
経営者は計画(Plan)、実行(Do)、確認(Check)、改善(Act)の各段階でリスク対応を見直し、問題の早期発見と迅速な対処を実現する必要があります。これにより、組織のセキュリティ対策を最新の状態に保ち、効果的なリスク管理を行うことが可能となります。
-
7インシデント発生時の緊急対応体制の整備
経営者はインシデント発生時の初動対応や再発防止策を迅速に実施するための緊急対応体制を整備する必要があります。CSIRT等の組織を設置し、連絡体制や社内外関係者との迅速なコミュニケーションを確立できるようにします。また、実践的な訓練を実施し、対応力を強化することで被害を最小限に抑え迅速な復旧を目指します。
-
8インシデントによる被害に備えた事業継続・復旧体制の整備
経営者はインシデント発生時の事業継続と迅速な復旧を確保するために、BCP(事業継続計画)との連携を強化し、復旧体制を整備する必要があります。被害の影響を最小限に抑え、迅速に通常業務へ復旧するための手順を確立し、サプライチェーン全体での協力体制を構築します。さらに定期的な訓練や見直しも行うことで、実効性を維持します。
-
9ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
経営者はサプライチェーン全体でサイバーセキュリティ対策を講じ、国内外の拠点やビジネスパートナーと協力して、対策の実効性を高める必要があります。ビジネスパートナーとの契約や運用状況を定期的に確認し、共通のリスク管理方針を導入することで、サプライチェーン全体の事業継続性を確保します。
-
10サイバーセキュリティに関する情報の収集、共有及び開示の促進
経営者は効果的な対策を講じるための基盤を整える必要があります。適切な情報提供を行い、社内外での連携を強化することで、新たな脅威への迅速な対応が可能となります。情報の有効活用と透明性の確保により、信頼性の向上とリスクの低減を図ります。
サイバーセキュリティ経営ガイドラインの活用方法
経営ガイドラインは経営者向けのテキストであると同時に、CSIRT部門や情報システム部門など、セキュリティ実務を行う担当者にとっても活用できる内容になっています。
-
関連文書の見直し
現行のセキュリティ関連文書を見直し、新しい脅威に対応した内容に更新する際に、最新のセキュリティに対応した経営ガイドラインを参考にするとより対策に有効です。
-
リスクアセスメントのフレームワークとしての利用
経営ガイドラインは、リスクアセスメントのフレームワークとしても利用することができ、企業が直面するリスクを体系的に評価し、優先度をつけて対策を講じるための手助けとなります。
-
インシデント対応の構築と訓練
インシデントが発生した際に迅速かつ適切に対応するためには、事前の準備と訓練が不可欠です。経営ガイドラインを参考にして、インシデント対応計画を策定し、定期的な訓練を実施することで、実効性の高い対応体制を構築することができます。
まとめ
サイバーセキュリティは、経営者にとって自然災害等と同じく危機管理の一環として捉えるべき重要な課題です。企業の存続と信頼性を守るためには、平時においてサイバー攻撃に対する準備をしっかりと行う必要があることをご理解いただけたでしょうか。
弊社ではこの経営ガイドラインに基づき、一般社員・職員や、CSIRT・SOCのセキュリティ担当部門へ向けた、組織で必要となる様々なセキュリティガイドラインの作成支援のサービスのほか、お客様と共に伴走しながらSOCやCSIRTの体制強化をご支援するコンサルティングサービスもご提供しております。
ご興味あれば弊社営業担当者までお問合せください。