サイバーセキュリティ経営ガイドラインの改訂
経済産業省は、サイバーセキュリティ経営ガイドラインを改訂し公表しました。
●改訂の背景
経済産業省では、独立行政法人情報処理推進機構(IPA)と協力し、経営者がリーダーシップを取ってサイバーセキュリティ対策を推進するための指針となる「サイバーセキュリティ経営ガイドライン」を平成27年12月に策定しました。このガイドラインは、大企業及び中小企業の経営者を対象として、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある「3原則」、及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめたものです。
サイバー攻撃は年々高度化、巧妙化してきており、サイバー攻撃によって純利益の半分以上を失う企業が出るなど、深刻な影響を引き起こす事件が発生しています。また、サイバー攻撃を受けていること自体に企業が自ら気づかないケースが増えるなど、事前対策だけでは対処が困難となってきています。
こうした状況を踏まえ、事後対策の追加を含めたガイドラインの改訂が行われました。
●改訂のポイント
主に以下の内容について改訂が行われました。
(1) 経営者が認識すべき3原則は維持しつつ、経営者がCISO等に対して指示すべき10の重要項目について見直しを実施しました。経営者が認識すべき3原則とは、①経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要、②自社はもちろんのこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要、③平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要、というものです。
(2) 「サイバーセキュリティリスクに対応するための仕組みの構築」に、新たに「攻撃の検知」を含めたリスク対応体制についての記載が行われました。
(3) 「インシデントによる被害に備えた復旧体制の整備」に、新たに「サイバー攻撃を受けた場合の復旧の備え」についての記載が行われました。
(4) 「ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」に、サプライチェーン対策強化に関する記載が追記されるとともに、類似項目の整理が行われました。
