サイバーセキュリティ経営ガイドライン Ver3.0(案)から見えるサイバー脅威の変化 | ScanNetSecurity
2023.02.07(火)

サイバーセキュリティ経営ガイドライン Ver3.0(案)から見えるサイバー脅威の変化

経済産業省は、「サイバーセキュリティ経営ガイドライン Ver3.0(案)」を公開するとともに、意見公募を開始した。

製品・サービス・業界動向 新製品・新サービス

 経済産業省は10月26日、「サイバーセキュリティ経営ガイドライン Ver3.0(案)」を公開するとともに、意見公募を開始した。同ガイドラインは、大企業及び中小企業(小規模事業者を除く)のうち、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するために策定したもの。

 サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」、そして付録で構成される。

 今回の改訂は2017年のVer2.0以来となり、その間の環境の変化に対応したものとなっている。例えば、テレワークなど働き方の多様化や、サイバー空間とフィジカル空間の緊密化、サイバーセキュリティ対象の拡大、ランサムウェアによる被害、サプライチェーンリスク、ESG対応などが加味されている。

 Ver3.0では、「概要」「3原則」「重要10項目」のすべてに見直しを行っている。概要では、例えば投資に対してVer2.0では「セキュリティ対策の実施を『コスト』と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて『投資』と捉えることが重要」となっていたのが、Ver3.0では「企業活動におけるコストや損失を減らすために必要不可欠な投資」であるとして、「サイバーセキュリティに関する残留リスクを許容水準まで低減することは、企業として果たすべき社会的責任であり、その実践は経営者としての責務」であるとしている。

 3原則については、次のように改訂されている。
・対策の実施を通じたサイバーセキュリティに関する残留リスクを許容水準まで低減することは経営者の責務である旨を記載
・サプライチェーン構造の複雑化に伴い、サプライチェーン全体を俯瞰し、総合的なセキュリティを徹底することの必要性等を記載
・関係者とのコミュニケーションについて、社外のみならず、社内関係者とも積極的にコミュニケーションをとることが必要である旨を記載

 重要10項目では、次のように改訂された。
・指示3について、セキュリティ業務に従事する従業員のみならず、全ての従業員が自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できるスキル向上の取組が必要である旨を記載
・指示8について、事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備の必要性や対象をIT系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習の実施等について記載
・指示9について、自社へのリスク波及を防ぐ観点からサプライチェーン全体での対策が必要であること、委託先に一方的な対策を強いるのでなく、方策の実効性を高めることを記載
・指示10について、有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることやステークホルダーへの情報開示について記載
・その他、全体的に対策を怠った場合のシナリオや対策例の追記等

 改定内容をみていくと、リモートワークやデジタルの進展などによるアタック・サーフェスの拡大や、サイバー攻撃が事業継続に深刻な影響を与えること、また影響は自社だけでなくサプライチェーン全体に及び、最悪の場合は親会社であるグローバル企業の事業が停止するリスクもあることなどが現実となっていることがわかる。意見の募集は10月26日から12月6日0時まで。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

PageTop

アクセスランキング

  1. ファイル誤添付メール送信で戒告の懲戒処分

    ファイル誤添付メール送信で戒告の懲戒処分

  2. 教員MLのつもりが学生MLへ、就職支援に係るメールを誤送信

    教員MLのつもりが学生MLへ、就職支援に係るメールを誤送信

  3. 不正アクセスで決済サービス停止中のメタップスペイメント、1月31日より順次再開

    不正アクセスで決済サービス停止中のメタップスペイメント、1月31日より順次再開

  4. 三春情報センターがEmotet感染、300件程度のアドレス帳データが流出した可能性

    三春情報センターがEmotet感染、300件程度のアドレス帳データが流出した可能性

  5. 尼崎市職員の公用スマホ紛失、虚偽報告が判明し懲戒処分に

    尼崎市職員の公用スマホ紛失、虚偽報告が判明し懲戒処分に

  6. 給油所でシステム障害発生 8時間給油停止に

    給油所でシステム障害発生 8時間給油停止に

  7. チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

    チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

  8. 東京機械製作所の連結子会社にランサムウェア攻撃、「LOCKBIT2.0」の表示

    東京機械製作所の連結子会社にランサムウェア攻撃、「LOCKBIT2.0」の表示

  9. 「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装

    「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装

  10. WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性

    WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性

ランキングをもっと見る