経済産業省は10月26日、「サイバーセキュリティ経営ガイドライン Ver3.0(案)」を公開するとともに、意見公募を開始した。同ガイドラインは、大企業及び中小企業(小規模事業者を除く)のうち、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するために策定したもの。
サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」、そして付録で構成される。
今回の改訂は2017年のVer2.0以来となり、その間の環境の変化に対応したものとなっている。例えば、テレワークなど働き方の多様化や、サイバー空間とフィジカル空間の緊密化、サイバーセキュリティ対象の拡大、ランサムウェアによる被害、サプライチェーンリスク、ESG対応などが加味されている。
Ver3.0では、「概要」「3原則」「重要10項目」のすべてに見直しを行っている。概要では、例えば投資に対してVer2.0では「セキュリティ対策の実施を『コスト』と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて『投資』と捉えることが重要」となっていたのが、Ver3.0では「企業活動におけるコストや損失を減らすために必要不可欠な投資」であるとして、「サイバーセキュリティに関する残留リスクを許容水準まで低減することは、企業として果たすべき社会的責任であり、その実践は経営者としての責務」であるとしている。
3原則については、次のように改訂されている。
・対策の実施を通じたサイバーセキュリティに関する残留リスクを許容水準まで低減することは経営者の責務である旨を記載
・サプライチェーン構造の複雑化に伴い、サプライチェーン全体を俯瞰し、総合的なセキュリティを徹底することの必要性等を記載
・関係者とのコミュニケーションについて、社外のみならず、社内関係者とも積極的にコミュニケーションをとることが必要である旨を記載
重要10項目では、次のように改訂された。
・指示3について、セキュリティ業務に従事する従業員のみならず、全ての従業員が自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できるスキル向上の取組が必要である旨を記載
・指示8について、事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備の必要性や対象をIT系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習の実施等について記載
・指示9について、自社へのリスク波及を防ぐ観点からサプライチェーン全体での対策が必要であること、委託先に一方的な対策を強いるのでなく、方策の実効性を高めることを記載
・指示10について、有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることやステークホルダーへの情報開示について記載
・その他、全体的に対策を怠った場合のシナリオや対策例の追記等
改定内容をみていくと、リモートワークやデジタルの進展などによるアタック・サーフェスの拡大や、サイバー攻撃が事業継続に深刻な影響を与えること、また影響は自社だけでなくサプライチェーン全体に及び、最悪の場合は親会社であるグローバル企業の事業が停止するリスクもあることなどが現実となっていることがわかる。意見の募集は10月26日から12月6日0時まで。
