DX時代の情報資産管理ポータルサイト

当サイトについて 運営会社 サイトマップ
カテゴリ
タグ
  1. TOP
  2. 情報資産管理
  3. サイバーセキュリティとは?リスク管理に不可欠な経営ガイドラインポイント解説
情報資産管理

サイバーセキュリティとは?リスク管理に不可欠な経営ガイドラインポイント解説

最新記事 サイバー攻撃 おすすめ記事 情報セキュリティ対策 DX
  • シェア
  • LINEで送る
  • このエントリーをはてなブックマークに追加
2023/08/07
サイバーセキュリティとは?リスク管理に不可欠な経営ガイドラインポイント解説

DX進展の加速化を背景に、重要性が増しているサイバーセキュリティ。
いつでもどこでも情報にアクセスできるなど、利便性の向上とともに、サイバーリスクはますます高まっています。

本記事では、サイバーセキュリティやリスク管理との関係性、サイバーセキュリティ経営ガイドラインの概要を解説します。


目次


サイバーセキュリティとは?

デジタル社会において、サイバーセキュリティの取り組みは、経営上、極めて重要です。
ここでは、サイバーセキュリティの概要について、次のとおり解説します。

  • そもそもサイバーセキュリティとは
  • サイバーセキュリティ対策の現状

順を追って説明します。

そもそもサイバーセキュリティとは

そもそもサイバーセキュリティとは、デジタルデータの窃盗や改ざんなど、サイバー攻撃を防ぐセキュリティ対策です。
サイバー攻撃による被害は、次のようなものが挙げられます。

  • 不正アクセスやコンピュータウイルスによる情報漏えい
  • ランサムウェア(コンピュータウイルス)によるシステム停止


このようなサイバー攻撃は、企業経営に重大な被害を与えうる危険性が高い脅威です。デジタル化が加速化している近年、この脅威の対策であるサイバーセキュリティは、経営上、必要不可欠な取り組みとなっているのです。

サイバーセキュリティ対策の現状

経済産業省の調査によると、経営層の情報セキュリティについて、会議等で経営者が意思決定している割合は、米国の83.3%に対して日本は57.7%の結果です。加えて、専任のCISO(Chief Information Security Officer:最高情報セキュリティ責任者)は米国の78.7%に対し、日本は27.3%となっています。

この調査から日本は、米国の2/3しか経営層が情報セキュリティの意思決定に関与しておらず、専任のCISOも半数以下であることがわかります。
この調査から経済産業省は、日本ではサイバーセキュリティ対策において、経営者が十分なリーダーシップを発揮して いない可能性があると指摘しています。
(※参考)経済産業省:「経営リスクとしてのサイバーセキュリティ対策 ~サイバーセキュリティ経営ガイドラインのポイント解説~」


リスクマネジメントの必要性とサイバーセキュリティとの関係性

サイバーセキュリティに対応していくには、リスクマネジメントが必要不可欠です。ここでは、サイバーセキュリティとリスクマネジメントについて、次のとおり解説していきます。

  • 知っておきたいリスクマネジメントの必要性
  • サイバーセキュリティにおける経営者の役割


順を追って説明します。

知っておきたいリスクマネジメントの必要性

ここでは、リスクマネジメントの概要やリスクマネジメントの必要性を見ていきます。

そもそもリスクマネジメントとは

そもそもリスクマネジメントとは、不確実なリスクを組織的に管理し、損失を回避・低減させる取り組みを指します。リスクマネジメントにより、リスクを予見し、事前に対策を講じることで、リスクを最小限に押さえることが可能です。

サイバーセキュリティにおけるリスクマネジメントの必要性

近年、革新的なITの進展を背景にDXの取り組みが加速化し、サイバーセキュリティの脅威は従前に比べて格段に増しています。加えて、サイバー攻撃の巧妙化により、事前対策だけでは不十分な状況です。米国のサイバーセキュリティフレームワークでは、事前対策に加えて、検知、対策、復旧までの事後対策が要求されています。

このように、サイバー攻撃の脅威に対応していくため、事前対策から事後対策まで、サイバーセキュリティにおけるリスクマネジメントは、必要不可欠なものになっています。
(※参考)経済産業省:「経営リスクとしてのサイバーセキュリティ対策 ~サイバーセキュリティ経営ガイドラインのポイント解説~」

サイバーセキュリティにおける経営者の役割

サイバーセキュリティ経営ガイドラインでは、経営者が認識すべき3原則として、次の3つをあげています。

  • 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
  • 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
  • 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

つまり経営者は、サイバーセキュリティ対策においてリーダーシップを発揮し、サプライチェーンを含めて常に関係者と適切なコミュニケーションをとっていくことが必要であると指摘しています。
経営者はこの原則を認識し、サイバーセキュリティ対策のリーダーシップをとっていく必要があるのです。

サイバーセキュリティ経営ガイドラインのポイント

ms_info15_main_img_01.jpg
国際的な状況を鑑みると、従来の「サイバーセキュリティ経営ガイドライン」では不十分であるとして、経済産業省は2017年11月16日にガイドラインを改訂し、「サイバーセキュリティ経営ガイドラインVer2.0」を公開しています。
ここでは、「サイバーセキュリティ経営ガイドラインVer2.0」について、次のとおり解説します。

  • サイバーセキュリティ経営ガイドラインとは?
  • サイバーセキュリティ経営ガイドラインの概要

順を追って説明します。 

サイバーセキュリティ経営ガイドラインとは?

経済産業省は、IPA(Information-technology Promotion Agency:独立行政法人情報処理推進機構)とともに、企業が経営者のリーダーシップの下、サイバーセキュリティ対策を推進することを目的に、「サイバーセキュリティ経営ガイドライン」を策定しています。

このガイドラインは、サイバー攻撃から企業を守るため、定めている事項は「経営者が認識すべき3原則」と「サイバーセキュリティ経営の重要10項目」です。さらに、「インシデント発生時に組織内で整理しておくべき事項」や「体制構築や人材確保について具体的な検討を行う際の参考となる手引き」を付録としてまとめています。
このようにガイドラインは、サイバーセキュリティ対策における経営者の役割をわかりやすくまとめているのです。

サイバーセキュリティ経営ガイドラインの概要

サイバーセキュリティ経営ガイドラインは、小規模企業を除く大企業・中小企業の経営者を対象として、経営者が認識すべき3原則と、CISO(最高情報セキュリティ責任者)に指示すべき重要10項目をまとめたものです。
ここでは、「経営者が認識すべき3原則」「サイバーセキュリティ経営の重要10項目」について説明します。

経営者が認識すべき3原則

「リスクマネジメントの必要性とサイバーセキュリティとの関係性」の章でも説明していますが、サイバーセキュリティ経営ガイドラインでは、経営者が認識すべき3原則として次をあげています。

  • 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
  • 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
  • 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要


「リーダーシップ」「サプライチェーン」「コミュニケーション」をキーワードに定められ、経営者がリーダーシップをとって推進すべきサイバーセキュリティ対策の原則を示しているのです。
とくに、単にセキュリティ対策を講じるだけでなく、関係者にサイバーセキュリティ対策に関する情報開示を行うことで、信頼関係を醸成していく必要があることは、重要なポイントです。

サイバーセキュリティ経営の重要10項目

サイバーセキュリティ経営ガイドラインでは、経営者がCISO(最高情報セキュリティ責任者)に指示する重要10項目をあげています。

  • 指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
  • 指示2:サイバーセキュリティリスク管理体制の構築
  • 指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保
  • 指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
  • 指示5:サイバーセキュリティリスクに対応するための仕組みの構築
  • 指示6:サイバーセキュリティ対策における PDCA サイクルの実施
  • 指示7:インシデント発生時の緊急対応体制の整備
  • 指示8:インシデントによる被害に備えた復旧体制の整備
  • 指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
  • 指示10:情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

この重要10項目は、まず方針を社内外に周知し、サイバーセキュリティ対策を講じるためのサイバーセキュリティリスク管理体制を構築することとしています。この管理体制に必要な予算、人材等の資源を確保し、仕組みの構築やPDCAサイクルの実施、リスク管理をしていくことで、サイバーセキュリティリスク管理体制を整備していくのです。

IPA(独立行政法人情報処理推進機構)では、この重要10項目の実践に必要な事例を充実させた「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集」を公開していますので、参考にしてください。
(※参考)IPA(独立行政法人情報処理推進機構):「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集」

押さえておきたいサイバーセキュリティ経営ガイドライン改訂ポイント

サイバーセキュリティ経営ガイドラインは、従来のガイドラインでは不十分であるとして、2017年11月16日に改訂しています。
この改訂は主に、重要10項目を中心に改定されています。この改訂点は次のとおりです。

重要項目 指示5として「攻撃の検知」に関する、「サイバーセキュリティリスクに対応するための仕組みの構築」を追加

サイバー攻撃による被害を最小限にするためには、早期に攻撃を検知する必要があります。ただし実態は、被害を受けた企業はサイバー攻撃を認知できずに、外部からの指摘により発覚するケースがほとんどです。

このように、企業によるサイバー攻撃の検知対策が十分でないため、本項目が追加されています。

重要項目 指示8 として「復旧」に関する、「サイバーセキュリティリスクに対応するための仕組みの構築」を追加

東日本大震災を機に、BCP(Business Continuity Plan:事業継続計画)の策定、訓練など、自然災害対策としては、有事から復旧までの対策が進んでいます。しかし、サイバー攻撃について復旧対策は意識されていないことが実情です。
ランサムウェアのように、可用性(システムを障害なく稼働し続けることの指標)に影響を与えるサイバー攻撃が増えている現状において、復旧対策であることから、本項目についても追加されています。

重要項目 指示9の「サプライチェーンのビジネスパートナーや委託先等を含めたサイバーセキュリティ対策の実施及び状況把握」において、委託先におけるリスクマネーの確保や委託先の組織としての活用の把握(ISMSやSECURITY ACTION)等の留意点を追記

日本企業の自社のセキュリティ点検は、欧米にやや遅れる程度である一方、委託先等に対するセキュリティのケアは大幅に遅れているとし、本項目についても追加されています。
委託先等を含めたサイバーセキュリティ対策の実施及び状況把握することで、サプライチェーン全体におけるサイバー攻撃の脅威を低減させることが可能です。企業単体でなくサプライチェーン全体で取り組む理由は、サプライチェーンにおける一部の企業でセキュリティが不十分な場合、その企業を踏み台にサイバー攻撃が拡大され、重大な被害を受ける可能性があるからです。

このように、昨今のサイバー攻撃の脅威の増大を受け、サイバーセキュリティ経営ガイドラインは改訂されています。
(※参考)経済産業省:「サイバーセキュリティ経営ガイドライン Ver 2.0」


まとめ

昨今、ランサムウェアなど重大なサイバー攻撃の脅威が増してきているなか、日本のサイバーセキュリティ対策は不十分な状況です。とくに、復旧までの事後対策が手薄なことを経済産業省は指摘しています。

こうした復旧までの事後対策や、サプライチェーン全体でのサイバーリスクを引き下げるため経済産業省は、2017年11月にガイドライン改訂版として、「サイバーセキュリティ経営ガイドラインVer2.0」を公表しています。
今一度、自社のサイバーセキュリティ状況とサイバーセキュリティ経営ガイドラインを照らし合わせて、サイバー攻撃のリスクに備えましょう。

関連キーワード

最新記事 サイバー攻撃 おすすめ記事 情報セキュリティ対策 DX
情報資産管理

関連記事

 

おすすめ記事  

もっと見る

 

タグ

もっと見る