経済産業省は、11月16日、情報処理推進機構(IPA)と協力し、サイバーセキュリティ経営ガイドラインを改訂した。誰でも無料で閲覧することができる。サイバーセキュリティ経営ガイドラインでは、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめている。
今回の改訂のポイントは以下のとおり。
・経営者が認識すべき3原則は維持しつつ、経営者がCISO等に対して指示すべき10の重要項目について見直しを実施した。
・「指示5サイバーセキュリティリスクに対応するための仕組みの構築」に、新たに「攻撃の検知」を含めたリスク対応体制を記載した。
・「指示8インシデントによる被害に備えた復旧体制の整備」に、新たに「サイバー攻撃を受けた場合の復旧への備え」を記載した。
・「指示9ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」に、サプライチェーン対策強化に関する記載を追記するとともに類似項目を整理した。
・付録Aに、米国国立標準技術研究所(NIST)発行のサイバーセキュリティフレームワークとの対応関係を提示する変更を行い、チェック項目についても一部追加・修正を行った。
・付録Bに、重要10項目を踏まえたサイバーセキュリティ対策を行う際に参考となる各種文献集をまとめた。
・付録Cに、インシデントが発生したときに組織が整理しておくべき事項を参考情報として新規追加した。
・「指示5サイバーセキュリティリスクに対応するための仕組みの構築」に、新たに「攻撃の検知」を含めたリスク対応体制を記載した。
・「指示8インシデントによる被害に備えた復旧体制の整備」に、新たに「サイバー攻撃を受けた場合の復旧への備え」を記載した。
・「指示9ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」に、サプライチェーン対策強化に関する記載を追記するとともに類似項目を整理した。
・付録Aに、米国国立標準技術研究所(NIST)発行のサイバーセキュリティフレームワークとの対応関係を提示する変更を行い、チェック項目についても一部追加・修正を行った。
・付録Bに、重要10項目を踏まえたサイバーセキュリティ対策を行う際に参考となる各種文献集をまとめた。
・付録Cに、インシデントが発生したときに組織が整理しておくべき事項を参考情報として新規追加した。
経済産業省では、昨今サイバー攻撃はさらに巧妙化しており、防御が難しく、サイバー攻撃を受けていること自体に企業が自ら気づかないケースも増えるなど、事前対策だけでは対処が困難となってきている。
特に、日本を含むアジア諸国は世界の平均よりもサイバー攻撃の発見に時間を要する傾向にある。一方、米欧では、こうした状況を踏まえて対処方針の見直しが進められ、事後対策を国内企業に求めるなど、検知・対応・復旧といった事後対策の取組にも重点が置かれるようになっている。
こうした状況を踏まえ、経済産業省は、IPAと協力し「サイバーセキュリティ経営ガイドライン改訂に関する研究会」を開催。そこでの検討を踏まえ、今般、事後対策の追加などを含めた、サイバーセキュリティ経営ガイドラインの改訂を行ったという。
会社情報
- 会社名
- 経済産業省