「サイバーセキュリティ経営ガイドライン」とは?

「サイバーセキュリティ経営ガイドライン」とは?

今回はサイバーセキュリティにおける、経営者の教科書とも言える「サイバーセキュリティ経営ガイドライン」について紹介したいと思います。

「サイバーセキュリティ経営ガイドライン」とは

経済産業省および独立行政法人情報処理推進機構(IPA)は、2015年12月28日に「サイバーセキュリティ経営ガイドライン」を策定し、経営者に対しリーダーシップの発揮を促し、サイバーセキュリティ対策を推進しています。
サイバーセキュリティ対策を講じるためには、コスト(セキュリティ対策コスト)がかかります。セキュリティコストは、それ自体から価値が生まれない、つまり企業などの利益には直接結びつかないことから、必要な予算を確保できないケースがあります。
それは、セキュリティ対策の効果がわかりにくく、費用対効果分析が行ないにくいことも、予算要求が通りにくい一因となっています。
このように費用対効果がわかりにくい投資やコストについては、最終的には経営者が判断しなければなりません。そのため、経営者のサイバーセキュリティ対策に対する責任を明確にして、わが国のサイバーセキュリティ対策を強化することをねらいとして「サイバーセキュリティ経営ガイドライン」が公表されました。

 

「サイバーセキュリティ経営ガイドライン」の3原則

「サイバーセキュリティ経営ガイドライン」(以下、ガイドライン)では、経営者に次の3つの原則を求めています。

(1) 経営者のリーダーシップガイドラインでは、「セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい。
このため、サイバー攻撃のリスクをどの程度受容するのか、セキュリティ投資をどこまでやるのか、経営者がリーダーシップをとって対策を推進しなければ、企業に影響を与えるリスクが見過ごされてしまう」と記述されています。
サイバーセキュリティを含めてICT(情報通信技術)について理解している経営者は、必ずしも多くはないのが現状であり、ともすれば部下任せになりがちなセキュリティ対策について、経営者の責任を明らかにしたものと言えます。

(2) 企業グループ全体としてのセキュリティ対策の推進また、ガイドラインでは、「子会社で発生した問題はもちろんのこと、自社から生産の委託先などの外部に提供した情報がサイバー攻撃により流出してしまうことも大きなリスク要因となる。
このため、自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリアィ対策が必要である」とも記述されています。
つまり、グループ経営の視点から見ると、親会社の経営者は、子会社のセキュリティ対策にも責任があるということです。

(3) 関係者とのコミュニケーションさらに、ガイドラインでは、「ステークホルダー(顧客や株主など)の信頼感を高めるとともに、サイバー攻撃を受けた場合の不信感を抑えるため、平時からのセキュリティ対策に関する情報開示など、関係者との適切なコミュニケーションが必要である」と記載されています。リスクコミュニケーションが重要だということです。

CISOの重要性

最高経営責任者(CEO)は、必ずしも情報セキュリティに知見をもっているわけではありません。そのため、CISO(Chief Information SecurityOfficer:最高情報セキュリティ責任者)を任命して、情報セキュリティの推進や情報セキュリティ·インシデントへの対応などを統括させることを求めているのです。
CISO は、従来からその重要性が叫ばれてきましたが、近年のサイバー攻撃の激化に伴って、その重要性がますます高まっています。経営者は、情報セキュリティポリシーを策定し、それに従った情報セキュリティ体制を構築しなければいけません。
やみくもにセキュリティ対策を講じても、効果的でない対策になったり、非効率な対策になったりするので、リスク評価を実施したうえでセキュリティ対策を講じることがポイントです。

セキュリティカテゴリの最新記事