COLUMN COLUMN
2022.7.15 /
経営者が進めるべきサイバーセキュリティ対策とは -サイバーセキュリティ経営ガイドラインについて-
はじめに
ビッグデータ解析やIoTの推進により、ITシステムの活用範囲の拡大が広がっており、ITの利活用は企業のサービスや収益性の向上において必要不可欠なものとなっています。
しかしその一方、サイバー攻撃も多様化・深刻化しており、有名な企業の被害報告を目にすることも頻繁になっています。
経済産業省とIPA(独立行政法人 情報処理推進機構)はそのような状況を踏まえ、ITに対する投資とともに、セキュリティに対して企業側がどのような点に注意すべきかをまとめました。それが「サイバーセキュリティ経営ガイドライン」です。
年々進化していくサイバー攻撃や海外のセキュリティへの対策に対応して、最新版の「サイバーセキュリティ経営ガイドラインVer2.0」は、大企業や中小企業で、IT関連のサービス・システムなどの供給やITの利活用が経営戦略上必須な企業の経営者に対して、「サイバー攻撃から企業を守る」という観点で策定されています。
ガイドラインの骨格ともいえる、経営者が認識すべき3つの原則、経営者がCISO等情報セキュリティ対策の責任者に指示すべき10個の重要項目を中心に説明していきます。
経営者が認識すべき3原則
「サイバーセキュリティ経営ガイドライン」では、経営者が認識すべき3つの原則を定め、経営者が自ら対策を進める必要性を示しています。
原則1
経営者は、サイバーセキュリティリスクを認識し、リーダーシップをもって対策を進めることが必要
経営者自らがサイバーセキュリティリスクを多様な経営リスクの中での一つとして位置づけ、CISO等のサイバーセキュリティ対策の責任者となる担当幹部の任命、適切な経営資源の配分を行う必要があるとしています。
原則2
自社、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
サプライチェーン全体のセキュリティレベルを維持できるよう、自社のみならずサプライチェーンのビジネスパートナーやシステム管理等の委託先を含めたセキュリティ対策を徹底することが必要です。
原則3
平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
平時から実施すべきサイバーセキュリティ対策についての情報共有などコミュニケーションを積極的に行うことで、万が一インシデントが発生した場合の対応をスムーズにすることができます。
サイバーセキュリティ経営の重要10項目
経営者がCISOなどに対して、着実に実施させ実施内容について定期的に報告を受けるべき10項目を掲げています。
1.サイバーセキュリティリスクの認識、組織全体での対応方針の策定
部門ごと事業ごとに対応したサイバーセキュリティリスクへの対応方針を検討すべきです。また、策定したセキュリティポリシーは社内での教育や掲載により周知徹底をし、サイトなどで公開・宣言することで、一般社会やステークホルダーに対して自社の姿勢を示し信頼性を高めることができます。
2.サイバーセキュリティリスク管理体制の構築
組織としてリスクを把握し一貫した方針を取るため、まずサイバーセキュリティリスクの管理体制を構築し、責任範囲を明確化します。
CISOなどセキュリティ責任者は、社内の経営リスクに関する委員会に参加し、管理体制の企画・設計段階からサイバーセキュリティ対策を考慮した体制を構築する必要があります。また同時に取締役、監査役は構築された管理体制を監視します。
3.サイバーセキュリティ対策のための予算・人材確保
セキュリティ対策に必要な費用を確保すると同時に、自社内の役割ごとのセキュリティ教育やサイバーセキュリティのための人材確保が必要です。教育や人材確保が自社内では難しい場合は、セキュリティ専門のベンダーの活用も合わせて検討すべきです。
指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
効率的かつ万全なリスク対応のための計画策定のためには、経営戦略的な観点から守るべき情報を特定するとともに、その保存先を明確にし、発生しうるセキュリティリスク(機密情報の流出による損害など)を把握します。把握したリスクへの対策を以下の3つの観点で検討します。
・リスク発生確率低下:重要情報へのアクセス制御、ソフトウェア更新の徹底など
・リスク回避策実施:端末の持ち出し禁止など
・リスク移転:クラウドサービスの利用やサイバー保険の加入など
対策が不要と判断したリスクも「残留リスク」として把握しておくことが必要です。
指示5:サイバーセキュリティリスクに対応するための仕組みの構築
サイバー攻撃全般に対する防御・検知・分析に関する対策は当然のこととして、重要業務を担う端末やネットワーク、システム、サービスには多層的な防御を導入すべきです。
また、アクセスログ・通信ログなどからサイバー攻撃を監視・検知する仕組みを構築し、検知時の社内外の関係者に対する速やかなアラート通知システムや日頃からの従業員に対する教育の実施も欠かせません。
指示6: サイバーセキュリティ対策におけるPDCAサイクルの実施
サイバーセキュリティ対策を計画的に実施し、継続的に改善していくというサイクルを構築するため、セキュリティ責任者による経営者への定期的な対策状況報告が必要です。またステークホルダーに対策状況を開示することで、より信頼性を高めることができます。
指示7:インシデント発生時の緊急対応体制の整備
サイバー攻撃をはじめ、重大なリスクの発生が考えられる事態(インシデント)を想定し、それに対応する方法を検討・整備しておく必要があります。
サイバー攻撃による被害を受けた場合の証拠保全を行える体制構築や攻撃収束後に取るべき再発防止策の策定・所管省庁などへの報告手順を含めた演習実施、初動対応時に影響が出る業務やその範囲、程度などの事前検討も重要です。
具体的な防止策の策定については外部の専門家の知見も活用できるようにしておきましょう。
指示8:インシデントによる被害に備えた復旧体制の整備
サイバー攻撃によりインシデントが発生し業務停止に至った場合、迅速な業務復旧のために関係機関との連携及び復旧作業を実施できるよう、復旧体制の整備やスキームを策定しておく必要があります。
また、担当者には策定した復旧スキームに沿った演習を事前に実施させ、特に重要な業務についてはBCPで定めている目標と照らし合わせて、いつまでに復旧すべきかを検討しておくべきです。
指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策の推進
サプライチェーン全体に万全の対策を実施するには、ビジネスパートナーや委託先を含めたサイバーセキュリティ対策のPDCA運用をおこなう必要があります。以下の点を参考にしましょう。
・サイバーセキュリティ対策の内容を明確にした上で契約を交わす
・重要な情報を委託先に預ける場合は、情報の安全性が確保できているかについて、委託先の経営状況も踏まえて定期的に確認する
・取引先候補の中から委託先を選定する場合、サイバー保険に加入しているかを条件の一つにする。
指示10:関係者とのコミュニケーションの推進
サイバー攻撃は日々進化しています。常に最新のサイバー攻撃に対応できるよう、
関係者との間でサイバー攻撃に関する情報共有を進め、自社からも積極的に情報提供や情報の獲得をしていくため、関係者とのコミュニケーションを推進します。
最後に
いまや経営者の企業戦略として、ITシステムにどれだけの投資をするのかと同じ、もしくはそれ以上にセキュリティに対してどの程度投資するのかを検討し、判断していくことが求められており、「サイバーセキュリティ経営ガイドライン」はその指針ともいうべきものです。このガイドラインは決して大企業に限られたものではなく、中小企業においても積極的に検討し進めていくべきものですので、一度は目を通しておきましょう。