経済産業省は3月24日、「サイバーセキュリティ経営ガイドライン」を改訂し、「Ver3.0」として公開した。同ガイドラインは、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある事項等をまとめたもの。
サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」、そして付録で構成される。
今回の改訂は2017年のVer2.0以来となり、2022年10月26日に改定案を公開し意見公募を開始している。改定案ではVer2.0の公開以降の環境変化に対応し、「テレワークなど働き方の多様化」」「サイバー空間とフィジカル空間の緊密化」「サイバーセキュリティ対象の拡大」「ランサムウェアによる被害」「サプライチェーンリスク」「ESG対応」などが盛り込まれた。
Ver3.0では、「3原則」「重要10項目」の基本的な構成を維持しつつ、最新の状況への認識と対策の実践が可能となるよう、記載内容の見直しを行った。また、同ガイドラインと連携して用いることが可能なツールや関連ガイドラインなどが整備されたことを踏まえ、これらとの関係性の整理図を追加するなど、同ガイドラインを利用する企業の利便性を高めるための改良を行っている。
概要においても、サイバーセキュリティ対策を将来の事業活動・成長に必須な「投資」と位置づけ、企業活動におけるコストや損失を減らすために必要不可欠な投資であり、「サイバーセキュリティに関する残留リスクを許容水準まで低減することは、企業として果たすべき社会的責任であり、その実践は経営者としての責務」であるとしている。
3原則については、次のように改訂されている。
1:経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
2:サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
3:平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要
以上、サイバーセキュリティ対策は経営者の責務であること、サプライチェーン全体を俯瞰すること、積極的なコミュニケーションが追記されている。
重要10項目では、次のように改訂された。
・指示3について、取引関係にとどまらず、国内外のサプライチェーンでつながる関係者へのセキュリティ対策への目配り、総合的なセキュリティ対策の重要性や社外のみならず、社内関係者とも積極的にコミュニケーションをとることの必要性などを追加・修正
・指示5について、サイバーセキュリティリスクの識別やリスクの変化に対応した見直しやクラウド等最新技術とその留意点などについて追記・修正
・指示8について、事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備やサプライチェーンも含めた実践的な演習の実施などを追記・修正
・指示9について、サプライチェーンリスクへの対応に関しての役割・責任の明確化、対策導入支援などサプライチェーン全体での方策の実行性を高めることについて追記・修正
・指示10について、有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることやステークホルダーへの情報開示について追記・修正
・その他、全体的な見直し
なお、本改訂に合わせて、独立行政法人情報処理推進機構(IPA)において、サイバーセキュリティの実践状況をセルフチェックで可視化できる「サイバーセキュリティ経営可視化ツール」(Excel版、Ver2.0)への改訂も行っている。
改定内容をみていくと、2017年からの環境とサイバー攻撃の変化がよく分かる。特に、サイバーセキュリティ対策への経営者の参画、サプライチェーン全体の俯瞰と密なコミュニケーションが強調されており、デジタル化とビジネスの変革と合わせてサイバーセキュリティ対策も変化すべきという狙いが読み取れる。
