求められる経営層のサイバーセキュリティ責任

政府が示した行動計画『第三者が損害を被ったような場合、経営層・監査役に任務懈怠につき悪意・重過失があるときは、第三者に対しても損害賠償責任を負う。*』

6月17日、政府の重要インフラ企業向けサイバーセキュリティ対策の行動計画が改訂されました。

経営層がサイバーセキュリティに対して主体的に取り組み、組織が一丸となって対応することが求められています。

重要インフラなど、人々の生活や社会の活動に大きく携わる企業はもとより、業種や規模を問わず、いかなる企業においてもサイバーセキュリティは「経営課題」として捉える必要があります。

*重要インフラのサイバーセキュリティに係る行動計画（2022 年6 月 17 日サイバーセキュリティ戦略本部）より抜粋

サイバー攻撃は完全に防ぐことは出来ません。いつでも、どこでも、起こっておかしくないのです。

しかし、事前の対応策はリスク管理として色々と考えておくことができます。

いくつかのパターンをすべての部署を対象にシミュレーションをし、訓練をしておくことが重要です。

実際にインシデントが発生した際には時間との闘いにもなり、最善の対応策をゼロから考えている猶予はありません。

それぞれの部署の役割を明確にしておき、組織全体が各々の役割を果たさなければなりません。

また、最終的に経営に影響する判断を下すのは経営者です。

自社に起こり得る事象を事前に把握し、重要な決断ポイントに対して正しい判断ができるよう、経営陣が平常時から様々なシミュレーションや、サイバー攻撃というリスクを前提した議論などを行っていることが初動から収束までの結果に大きな効果を与えることになります。

既にマニュアルが制定されている企業もあるでしょう。

しかしサイバー情勢は日々変化します。

それは事業や組織もまた同じことが言えるでしょう。

一度作成してそのままにするのではなく、定期的にマニュアルを基にしたシミュレーションを行い、新たに検討すべき点が無いのか、確認や議論を重ねながら精度を上げていくことが重要です。

こうした日々の取り組みが、いざサイバー攻撃が起きたときの「クライシスマネジメント」に直結するのです。

これからマニュアルを作成しようという時には、全社規模の視点を盛り込むこととなります。

どこから整理をするべきか迷う場合などは、必要に応じて専門家やコンサルティングを行っている企業に相談すると、整理もしやすいでしょう。

海外では既に何年も前から、取引要件にセキュリティ関連項目が必須項目として設定されています。

要求事項に対応できていない場合には、取引先として認められず、ビジネスを行うことができません。

特に、2019年にアメリカ国立標準技術研究所（以降、NIST）が政府調達の要件「NIST SP800-171」を定めて以降、安全保障の観点も含めサイバーセキュリティはより重要な視点として認められています。

日本国内でも、今後ますますこれらに付随した傾向は加速し、どの分野においても対策が必須となるでしょう。今回は重要インフラの分野に重点が置かれていますが、それ以外の業界の企業も同様に考えることが求められます。