経営者のための「「サイバーセキュリテイ経営ガイドライン」
経済産業省および独立行政法人情報処理推進機構(IPA)は、
2015年12月28日に「サイバーセキュリテイ経営ガイドライン」が公表されました。
経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進していま
す。
これは、近年の大きな脅威となっているサイバーに伴って、企業活動をおこなうえで、
サイバーセキュリティ対策が緊急の課題となっていることが事情にあります。
サイバーセキュリテイ対策を強化するためには、サイバーセキュリティ体制を構築し、
リスク評価に則していろいろな対策を講じなければなりませんが、
そのためにはセキュリティ対策コストがかかってしまいます。
しかし、セキュリティコストは、セキュリティ対策自体からは価値が発生しません、
利益には直接結びつかないことから企業では、予算要求が通りにくい一因となり、
必要な予算を確保が難しい場合があります。
それは、セキュリティは費用対効果が明確になりにくいいわれていて、費用対効果を補足す
る材料としてリスク分析は重要です。
このように費用対効果がわかりにくい投資やコストについて、経営者が最終的に判断しなけれ
ばなりません。
そのため、経営者のサイバーセキュリティ対策についての認識と責任を明らかにし、
サイバーセキュリティ対策を強化することを目標として、「サイバーセキュリティ経営ガイド
ライン」が公表されました。
「サイバーセキュリティ経営ガイドライン」には3つの原則がある?
「サイバーセキュリティ経営ガイドライン」では、経営者に次の3つの原則を求めています。
(1)経営者のリーダーシップ
これは、経営者の責任を明らかにしたもので、ガイドラインでは、
「セキュリテイ投資に対するリターンの算出は、ほぼ不可能であり、
セキュリティ投資をしようという話は積極的に上がりにくい。
このため、サイバー攻撃のリスクをどの程度受容するのか、セキュリティ投資をどこまでやる
のか、経営者がリーダーシップをとって対策を推進しなければ、企業に影響を与えるリスクが
見過ごされてしまう」と記述があります。
経営者の中でサイバーセキュリティを含めてICT(情報通信技術)について理解している経営者
は、まだまだ、少なくないのが現状であり、サイバーセキュリティを含めてICT(情報通信技
術)について理解している経営者は、必ずしも多くはないのが現状であり、ともすれば、部下
に任せきりになりがちなセキュリティ対策について、経営者の責任を明らかにしたもになって
います。
(2)企業グループ全体としてのセキュリティ対策の推進
ガイドラインでは、「子会社で発生した問題はもちろんのこと、自社から生産の委託先などの
外部に提供した情報がサイバー攻撃により流出してしまうことも大きなリスク要因となる。
このため、自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセ
キュリティ対策が必要である」とも記述されています。
それは、視点をグループ経営にしてみると、親会社の経営者は、子会社のセキュリティ対策に
も責任が発生するということです。
例えば、子会社がセキュリティ対策が施されていない状態でサイバー攻撃をうけて、重要情報
が漏えいした場合、親会社の名前が公表され、親会社の管理責任が問われることになります。
(3)関係者とのコミュニケーション
ガイドラインでは、「ステークホルダー(顧客や株主など)の信頼感を高めるとともに、
サイバー攻撃を受けた場合の不信感を抑えるため、平時からのセキュリテイ対策に関する情報
開示など、関係者との適切なコミュニケーションが必要である」と記載されています。
意識共有や情報共有は、リスクコミュニケーションと呼ばれています。
最近、様々な場面で、このリスクコミュニケーションを求められていますが、この考え方は、
実は現場レベルの情報セキュリティ対策にも有効であると考えます。
情報をどのように守るための「サイバーセキュリティ経営ガイドライン」の10項目
ガイドラインでは、10項目が重要だと述べています。
最高経営責任者(CEO)は、必ずしも情報セキュリティの知識をもっているわけではないため、
CISO(ChieflnfOrmationSecurityOffiCer:最高情報セキュリティ責任者)を任命して、
情報セキュリティの推進や情報セキュリティ・インシデントヘの対応などを統括させることを
勧めています。
CISOは、近年のサイバー攻撃の激化に伴って、従来からその重要性が指摘されてきましたが、
その重要性が一層、高まっています。
情報セキュリティポリシーを策定し、それに沿った情報セキュリティ体制を構築していかねば
なりません。
そして、情報セキユリテイという視点でみてみると、どういった情報をどのように守るのかが
重要になるので機密性、可用性、インテグリテイの視点から自社の情報資産を把握し、情報資
産にどのようなリスクがあり、それがどの程度の大きさかを正確に評価しなければいけませ
ん。
経営者は、情報セキュリティポリシーを策定し、それに従った情報セキュリティ体制を構築し
なければいけません。
また、情報セキユリテイという観点で言えば、どういった情報をどのように守るのかが重要に
なるので、自社の情報資産を把握し、機密性、可用性、インテグリテイの視点から情報資産に
どんなリスクがあり、それがどの程度の大きさかを正しく価値づけなければいけません。
そして、対策を効率的かつ効果的に講じる必要があって、それは、評価されたリスクの大きさ
に応じて、おこなう必要があり、見通しもつかないままにセキュリティ対策を講じても、効果
的でない対策になったり、非効率な対策になったり、リスク評価をおこなったうえでセキュリ
ティ対策を講じることが重要なポイントとなります。
重要10項目
1. セキュリティポリシーの策定
2.適切な管理体制の構築と責任の明確化
3.守るべき資産の特定、セキュリティリスクの洗い出し及びリスクへの対処計画の策定
4.PDCAの実施
5.系列企業やビジネスパートナーによるPDCAの運用
6.必要な予算の確保及び人材育成
7.自社の技術力や効率性を鑑み、自組織で対応する部分と他組織に委託する部分との適切な切り分け
8.情報共有活動への参加及び貢献
9.緊急時の対応体制の整備及び演習の実施
10.被害発覚後の通知先及び開示が必要な情報項目の整理
まとめ
ここまで、経営者の情報セキュリティへの意識のために「サイバーセキュリテイ経営ガイドラ
イン」がつくられたことをみてきました。
企業のセキュリティ担当者にしてみれば、上司や経営層にセキュリティの重要性を
理解・納得させ、トップダウンでセキュリティ対策を進める体制をつくっていくことが最初の仕
事となり、大きなハードルとなっています。
また、業務形態、ネットワークやシステムの構成、保有する情報資産
などを踏まえた上で、その内容に見合った情報セキュリティポリシーを作成しなければなりま
せん。