東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

第7章. セキュリティフレームワーク

7-5. サイバーセキュリティ経営ガイドライン

7-5-1. サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドライン

経営者が主体となってサイバーセキュリティ対策を実施する際に、経済産業省とIPAが共同で発行している「サイバーセキュリティ経営ガイドライン」が参考になります。本ガイドラインでは、経営者がサイバーセキュリティ対策を実行する際に認識するべき事項と、サイバーセキュリティ対策の責任者(CISOなど)に指示するべき事項を包括的にまとめています。
平成29年のVer2.0の公開以降、企業のサイバーセキュリティ対策を取り巻く環境が変化しました。そのため、最新の状況への認識と対策の実践が可能となるように内容が見直され、令和5年にVer3.0が最新版として公開されました。

企業のサイバーセキュリティ対策を取り巻く環境の変化

テレワークの活用

テレワークなどのデジタル環境の活用を前提とする働き方の多様化

サイバー空間とフィジカル空間のつながり

インターネットなどのサイバー空間と現物の取引を行うフィジカル空間のつながりの緊密化と、それに伴うリスクの顕在化

セキュリティ対象の変化・拡大

情報資産だけでなく、制御系を含むデジタル基盤の保護がサイバーセキュリティの対象となる変化と拡大

ランサムウェアによる被害の顕在化により、企業におけるサイバーセキュリティに関する被害は情報漏えいにとどまらず、企業の事業活動の停止へと影響が拡大

サプライチェーンを介した被害拡大

国内外のサプライチェーンを介したサイバーセキュリティ関連被害の拡大を踏まえた、サプライチェーン全体を通じた対策の必要性の高まり

ESG投資の拡大

ESG(Environment, Society, Governance)投資の拡大により、コーポレートガバナンスおよびERM(エンタープライズリスクマネジメント)の改善に向けた取組に対する関心の高まり

(出典) 経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」を基に作成

次のページからは、サイバーセキュリティ対策に取組む上で、経営者が認識するべき事項と実行するべき事項を紹介し、経営目線でのサイバーセキュリティ対策について全体像を説明します。また、経営者とセキュリティ担当者それぞれの立場に応じて、具体的に行うべきことについて説明した後、サイバーセキュリティ対策を実践するための手順を説明します。

ONE POINT

サイバーセキュリティ対策は企業の価値増大への投資

サイバーセキュリティ対策はやむを得ない「費用」と考えるのではなく、「投資」と位置付けることが重要です。なぜなら、サイバーセキュリティ対策は、企業活動における損失やコストを減らし、企業の価値を維持・増大させるために必要だからです。サイバーセキュリティに関するリスクを経営リスクの一環として取り入れ、適切な対策に投資することで、リスクを許容可能な範囲まで低減させることができます。企業としては、この取組を通じて社会的責任を果たし、経営者はこの責務を認識する必要があります。

経営者が認識するべき3原則

経営者は、以下の3原則を認識し、対策を進める必要があります。

原則1

経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップの元で対策を進めることが必要

原則2

サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先など、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要

原則3

平時および緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要

サイバーセキュリティ経営の重要10項目

経営者は、以下の重要10項目について、サイバーセキュリティ対策を実施する上での責任者や担当部署(CISO、サイバーセキュリティ担当者など)への指示を通じて組織に適した形で確実に実施させる必要があります。これらは、組織のリスクマネジメントの責任を担う経営者が、単なる指示ではなく、自らの役割として発信する必要があります。リスク対策に関する実施方針の検討、予算や人材の割当、実施状況の確認や問題の把握と対応など、多くのことを通じてリーダーシップを発揮することが求められます。

経営者がリーダーシップをとったセキュリティ対策の推進

サイバーセキュリティリスクの管理体制構築

  • 指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
  • 指示2 サイバーセキュリティリスク管理体制の構築
  • 指示3 サイバーセキュリティ対策のための資源(予算、人材など)確保

サイバーセキュリティリスクの特定と対策の実装

  • 指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
  • 指示5 サイバーセキュリティリスクに効果的に対応する仕組みの構築
  • 指示6 PDCAサイクルによるサイバーセキュリティ対策の継続的改善

インシデント発生に備えた体制構築

  • 指示7 インシデント発生時の緊急対応体制の整備
  • 指示8 インシデントによる被害に備えた事業継続・復旧体制の整備

サプライチェーンセキュリティ対策の推進

指示9 ビジネスパートナーや委託先などを含めたサプライチェーン全体の状況把握および対策

ステークホルダーを含めた関係者とのコミュニケーションの推進

指示10 サイバーセキュリティに関する情報の収集、共有および開示の促進

(出典) 経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」を基に作成

サイバーセキュリティ経営の重要10項目の概要

経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISOなど)に指示すべき「重要10項目」のポイントと、対策例の一部を紹介します。

指示1
サイバーセキュリティリスクの認識、組織全体での対応方針の策定

  • サイバーセキュリティリスクを経営者が責任を負うべき経営リスクとして認識し、組織全体としての対応方針(セキュリティポリシー)を策定させる。
  • 策定した対応方針を対外的な宣言として公表させる。

対策例

経営者が組織全体の対応方針を組織の内外に宣言できるよう、企業の経営方針と整合を取ったセキュリティポリシーを策定する。その際、製造、販売、サービスなど、事業が立脚しているすべての基盤(設備、システム、情報などの資産、流通プロセスなど)に影響を及ぼすと考えられるサイバーセキュリティリスクに応じた対応方針を検討する。

指示2
サイバーセキュリティリスク管理体制の構築

  • サイバーセキュリティリスクの管理に関する各関係者の役割と責任を明確にした上で、リスク管理体制を構成させる。
  • サイバーセキュリティリスクの管理体制の構築にあたっては、組織内のガバナンスや内部統制、その他のリスク管理のための体制との整合を取らせる。

対策例

  • 役割遂行に求められる責任や専門性、人的資源の状況に応じて、組織内要員で対応すべきものと外部の専門サービスに委託すべきものとの切り分けを行う。
  • 取締役、監査役はサイバーセキュリティリスク管理体制が適切に構築、運用されているかを監査する。

指示3
サイバーセキュリティ対策のための資源(予算、人材など)確保

  • サイバーセキュリティに関する残存リスクを許容範囲以下に抑制するための方策を検討させ、その実施に必要となる資源(予算、人材など)を確保した上で、具体的な対策に取組ませる。
  • すべての役職員に自らの業務遂行にあたってセキュリティを意識させ、それぞれのサイバーセキュリティ対策に関するスキル向上のための人材育成施策を実施させる。

対策例

  • 事業が立脚しているすべての基盤の安全性の担保のために必要なサイバーセキュリティ対策を明確にし、それに要する費用を確保する。
  • 従業員向けやセキュリティ担当者向けなどの研修などのための予算を確保し、継続的に役割に応じたセキュリティ教育を実施する。
  • セキュリティ対策業務に従事する人材のみならず、デジタル部門、事業部門、管理部門などのあらゆる業務に従事する人材に、「プラス・セキュリティ」知識・スキルの習得を促す。

指示4
サイバーセキュリティリスクの把握とリスク対応に関する計画の策定

  • 事業に用いるデジタル環境、サービス及び情報を特定させ、それらに対するサイバー攻撃(過失や内部不正を含む)の脅威や影響度から、自組織や自ら提供する製品・サービスにおけるサイバーセキュリティリスクを識別させる。
  • サイバー保険の活用や守るべき情報やデジタル基盤の保護に関する専門ベンダへの委託を含めたリスク対応計画を策定させ、対応後の残留リスクを識別させる。

対策例

組織における情報のうち、経営戦略の観点から守るべき情報を特定し、それらがどこに保存され、どこで扱われているかを把握する。その際、自社の営業秘密を外部のクラウドサービスで管理したり、テレワークなどの新しい働き方を導入したりしていることの影響を適切に反映させる。

指示5
サイバーセキュリティリスクに効果的に対応する仕組みの構築

  • サイバーセキュリティリスクに対応するための保護対策として、防御・検知・分析の各機能を実現する仕組みを構築させる。
  • 構築した仕組みについて、事業環境やリスクの変化に対応するための見直しを実施させる。

対策例

  • 重要業務を行う端末、ネットワーク、システムまたはサービス(クラウドサービスを含む)には、多層防御を実施する。
  • 従業員に対する教育を定期的に行い、適切な対応が行えるよう日頃から備える。

指示6
PDCAサイクルによるサイバーセキュリティ対策の継続的改善

  • リスクの変化に対応し、組織や事業におけるリスク対応を継続的に改善させるため、サイバーセキュリティリスクの特徴を踏まえたPDCAサイクルを運用させる。
  • 経営者は対策の状況を定期的に報告させることなどを通じて問題の早期発見に努め、問題の兆候を認識した場合は改善させる。
  • 株主やステークホルダーからの信頼を高めるため、改善状況を適切に開示させる。

対策例

必要に応じて、ISO/IEC 27001規格に基づくISMSなど、国際標準となっているPDCAマネジメントシステムの認証を活用する。

指示7
インシデント発生時の緊急対応体制の整備

  • 影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を適時に実施するため、制御系を含むサプライチェーン全体のインシデントに対応可能な体制(CSIRTなど)を整備させる。
  • 被害発覚後の通知先や開示が必要な情報を把握させるとともに、情報開示の際に経営者が組織の内外へ説明ができる体制を整備させる。
  • インシデント発生時の対応について、適宜実践的な演習を実施させる。

対策例

  • インシデント発生時の体制整備、ルール整備に当たって、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参照しながら、社内理解を深める。
  • インシデントの発生を想定した緊急対応に関する演習を役員や職員に対して定期的に実施し、緊急時にどのような手順で初動対応を行うべきかについて、すべての関係者が体験を通じて理解する。

指示8
インシデントによる被害に備えた事業継続・復旧体制の整備

  • インシデントにより業務停止などに至った場合、企業経営への影響を考慮していつまでに復旧すべきかを特定し、復旧に向けた手順書策定や、復旧対応体制の整備をさせる。
  • 制御系も含めたBCPとの連携など、組織全体として有効かつ整合のとれた復旧目標計画を定めさせる。
  • 業務停止などからの復旧対応について、対象をIT系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習を実施させる。

対策例

  • 設備投資計画を立案する際に、事業継続に影響をもたらす要因として、自然災害やパンデミックなどにサイバーセキュリティリスクを加え、その対策を要求仕様などに反映させる。
  • 定期的な復旧演習の実施により、復旧対応に関わる関係者がその手順について、体験を通じて理解する。

指示9
ビジネスパートナーや委託先などを含めたサプライチェーン全体の状況把握及び対策

  • サプライチェーン全体にわたって適切なサイバーセキュリティ対策が講じられるよう、国内外の拠点、ビジネスパートナーやシステム管理の運用委託先などを含めた対策状況の把握を行わせる。
  • ビジネスパートナーなどとの契約において、サイバーセキュリティリスクへの対応に関して担うべき役割と責任範囲を明確化するとともに、対策の導入支援や共同実施など、サプライチェーン全体での方策の実効性を高めるための適切な方策を検討させる。

対策例

系列企業、サプライチェーンのビジネスパートナーやシステム管理の委託先などがSECURITY ACTIONを実施していることを確認する。なお、ISMSなどのセキュリティマネジメント認証を取得していることがより効果的である。

指示10
サイバーセキュリティに関する情報の収集、共有及び開示の促進

  • 有益な情報を得るには自ら適切な情報提供を行う必要があるとの自覚のもと、サイバー攻撃や対策に関する情報共有を行う関係の構築及び被害の報告・公表への備えをさせる。
  • 入手した情報を有効活用するための環境整備をさせる。

対策例

  • 株主やステークホルダーとの対話、広報による一般向け情報開示などの機会において、サイバーセキュリティインシデントに備えた日頃の取組などの情報開示に積極的に取組む。
  • 中小企業の場合は、商工会議所、商工会などを通じて地元で情報共有を行うことのできる相手を確保する。
  • 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参考に、インシデントに備え、サイバーセキュリティ専門組織との情報共有や被害に係る情報の公表を行うに当たっての観点について、あらかじめ理解しておく。

(出典) 経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」を基に作成