サプライチェーンのグローバル視点、サイバー保険補償対象外懸念 他 ~ 経団連がガイドライン改訂に4つの提案 | ScanNetSecurity
2024.02.28(水)

サプライチェーンのグローバル視点、サイバー保険補償対象外懸念 他 ~ 経団連がガイドライン改訂に4つの提案

一般社団法人 日本経済団体連合会(経団連)は、「サイバーセキュリティ経営ガイドライン Ver3.0(案)」に対する意見を発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 一般社団法人 日本経済団体連合会(経団連)は12月6日、「サイバーセキュリティ経営ガイドライン Ver3.0(案)」に対する意見を発表した。同ガイドラインは、ITの利活用が不可欠な大企業及び小規模事業者を除く中小企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するために策定したもの。

 経済産業省が10月26日に公開したガイドライン案では、2017年の前回改訂以降の環境の変化に対応したもので、テレワークなど働き方の多様化や、サイバー空間とフィジカル空間の緊密化、サイバーセキュリティ対象の拡大、ランサムウェアによる被害、サプライチェーンリスク、ESG対応などが加味されている。

 経団連はガイドライン案に対し、2022年10月11日に改定された「経団連サイバーセキュリティ経営宣言 2.0」と軌を一にする内容で、おおむね賛同できるとした上で、次の4つの点について意見を提案している。

1:グローバルな視点の追加
 全編を通じて、「国境を越えたサイバーセキュリティリスク・対策」といった観点がやや希薄。取引先や海外子会社等のサプライチェーンを経由したサイバー攻撃が増加傾向にある中で、サプライチェーン全体を俯瞰したサイバーセキュリティ対策の強化において、グローバルな視点を盛り込むことが不可欠。

2:多様な経営リスクにおける位置づけの敷衍
 「経営者が認識すべき3原則」の一つとして、サイバーセキュリティリスクを経営リスクの一つとして位置づけるとあるが、より具体的に踏み込んだ内容とする必要がある。例えば、同列に扱うべき他の経営リスク、リスクと判断する粒度、対策推進の際に経営者が判断すべきことを挙げた。

 また、踏み込んだ記載をした上で、別途「手順・ツール」で具体的なツールを提示することによって、経営ガイドラインの実効性が高まるとした。

3:「事業継続」に関する記述の追加
 事業サイドと情報システム・セキュリティ担当者の日常のコミュニケーションが重要という認識を踏まえ、「経営者が認識すべき3原則」の(3)の記述に「事業継続」という言葉を追記すべきとした。

4:「サイバー保険」に関する記述の追加
 指示4および指示9にサイバー保険の活用を推奨する記載があるが、サイバー保険のカバー範囲が必ずしも被害の全体でないこと、国家レベルの攻撃の場合は戦争扱いとなり、被害に対する補償が支払われない可能性があることを注記する必要があるとした。

《吉澤 亨史( Kouji Yoshizawa )》

特集

PageTop

アクセスランキング

  1. ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ

    ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ

  2. 「UTM 理解していない」半数

    「UTM 理解していない」半数

  3. エレコム製無線 LAN ルータに複数の脆弱性

    エレコム製無線 LAN ルータに複数の脆弱性

  4. 「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開

    「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開PR

  5. ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も

    ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も

  6. JC3、捜査員向けのランサムウェア捜査ハンドブックを出版

    JC3、捜査員向けのランサムウェア捜査ハンドブックを出版

  7. 到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割

    到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割PR

  8. ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード

    ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード

  9. LINEヤフー委託先への不正アクセス、社外のサービスシステムについての調査結果を公表

    LINEヤフー委託先への不正アクセス、社外のサービスシステムについての調査結果を公表

  10. 東和エンジニアリングへのランサムウェア攻撃、VPN機器の脆弱性を悪用しブルートフォース攻撃でID・パスワードを不正に取得

    東和エンジニアリングへのランサムウェア攻撃、VPN機器の脆弱性を悪用しブルートフォース攻撃でID・パスワードを不正に取得

ランキングをもっと見る